維基百科:帳號安全

帳號安全由很多方面構成,其中主要包括帳號密碼和其他關聯裝置的安全。失竊的帳號會在沒有警告的情況下被禁封,而且一般不會被解封,除非有證據表明該帳號已回到了失主的手中。

密碼

所有註冊使用者都需要密碼才能登入,密碼能防止其他人冒充您。註冊使用者可以在偏好設定頁變更密碼。編者都應該使用強密碼。如果不這樣做的話,那些猜測或破解了您密碼的傢伙就能用您的帳號為所欲為,從而傷害您的權利和破壞社群。2016年11月,維基百科創始人的帳號被盜,盜號者操控帳號破壞英文維基百科首頁,並解除首頁保護,對英文維基百科造成極大影響。

 
維基百科創始人被盜號後對英文維基百科首頁的破壞記錄

強密碼僅是帳號安全的不充分必要條件。在多處使用同一密碼是帳號被盜的主因:有心人獲知其一,便能入侵您的所有帳號。使用公共電腦時,要當心鍵盤記錄

同時,儘量不要將您的個人電腦給他人使用。

最後,請儘快確認您的電子信箱位址。確認電子信箱不止可以收到條目的編輯通知這個好處,還可在大部分情況下幫助您恢復密碼。如果您在偏好設定頁設定了電子郵件位址,就可以在忘記密碼或被盜號時重設密碼,前提是要確保電子信箱安全。

安全密碼設定

根據經驗法則,日常用的密碼要夠長,用大小寫字母和數字的組合,而且不包括字典單詞、姓名和個人資料(如出生日期等)。純小寫字母組成的密碼也行,但需要加長才能稱作安全。當然,使用多強的密碼取決於使用者對本帳號的重視程度。

避免使用常見密碼如「123456」、「password」此類。更詳細的清單參見維基百科:常見密碼/10000

維基百科在伺服器端雜湊使用者密碼,且已強制開啟HTTPS端對端加密,故無需過於擔心伺服器和傳輸過程中的洩密問題。

高權限人員

在維基百科,只有特定帳號能執行一些特權操作,強烈建議這些使用者使用獨立複雜的強密碼。管理員行政員使用者查核員監督員模板編輯員,一旦帳號有失,危害甚巨。基於安全考量,失竊的特權帳號可能會被永久復原權限。在有充分證據表明失竊的帳號已物歸原主時,經行政員裁量可恢復權限。

維基媒體系統管理員偶爾會嘗試破解特權使用者的密碼,並禁用那些易破解的弱密碼。

目前,管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、跨維基匯入者可開啟兩步認證,這樣只有同時輸入正確密碼和驗證碼才能登入。詳情見元維基相關介紹。如果普通使用者也想用兩步認證,請到m:SRGP申請「Two-factor authentication testers」權限。

證明身分

以下措施可有助於在帳號失竊後重新奪回控制權:

  • 給帳號設定電子信箱,並確保電子信箱安全,這樣即使帳號密碼遭篡改也能奪回帳號。
  • 使用{{User committed identity}}。原理大致如下:隨便想一些只有本人知道的文字,用SHA-512等方法雜湊。因為通常情況下其他人無法透過雜湊結果推測原文,所以只要在需要情況下公開雜湊前的內容,其他人即可用同樣方法雜湊,從而判斷是否為本人。另外這種證明只有效一次,公開原文後要立刻更換新密文。
  • 使用PGPGPG,公開自己的公鑰,這樣只要在需要時簽名(注意應附帶時間戳)即可證明是本人。
  • 與維基外帳號關聯:例如在站內指出某個Twitter帳號是自己,只要保證Twitter帳號不失竊,大家同樣可以相信你已奪回帳號。

參見