維基百科討論:帳戶安全

由Jimmy-bot在話題權限及帳號安全上作出的最新留言:3 年前

請注意密碼安全

撞庫三次登進了兩個管理員帳號……真想吐槽大家是不是都喜歡一套帳號密碼打天下。已翻譯Wikipedia:帳號安全,請各位(尤其擁有管理員權限者)儘快設置獨立密碼。--人神之間擺哈龍門陣 2015年11月15日 (日) 08:30 (UTC)

一套帳密打天下是比較方便,但勸管理員們的要獨立或是定期更換,假如管理權限受到盜用,後果不堪設想。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月15日 (日) 08:56 (UTC)
能不能撞出我的?--賈大師講大道 2015年11月15日 (日) 13:11 (UTC)
我的密碼只有三位。--Antigng留言2015年11月15日 (日) 13:31 (UTC)
@Antigng  囧rz...,祝您好運。--街燈電箱150號 開箱維修 抄錶 檢驗證明 2015年11月15日 (日) 17:46 (UTC)
我一直想要一個HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)
是拿什麼庫撞得?我都記不清自己的密碼是哪個了,每次輸密碼都要試上好幾次--百無一用是書生 () 2015年11月16日 (一) 01:53 (UTC)
從一些網站被脫出的資料庫來看,不少還是把密碼明文存儲的。具體不好說,免得破壞者蠢蠢欲動。--人神之間擺哈龍門陣 2015年11月16日 (一) 04:32 (UTC)
提醒一下那幾個管理員吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
已發私信--人神之間擺哈龍門陣 2015年11月18日 (三) 10:18 (UTC)
人神被盜了?(震驚)——路過圍觀的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
然後閣下自己被盜取了?看來這事情不簡單啊。--E8×E85472015年11月19日 (四) 08:25 (UTC)
好像是人神自己去meta申請解除本地管理,然後全域lock了,之後Addis根據在這個本地申請CU後本地block,現在meta解lock了,難道這樣來測試帳號被盜?這劇本有點看懵了。——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好像發起這個討論串的就是盜號者冒用的帳號....--百無一用是書生 () 2015年11月19日 (四) 08:39 (UTC)
這也撞中……——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好複雜...- 和平、奮鬥、救地球!(留言)自然條目提升地質滅絕專題2015年11月19日 (四) 08:58 (UTC)
也就是說擅自解封User:Makecat的不是人神?--Antigng留言2015年11月19日 (四) 09:02 (UTC)
(+)支持建立這個頁面。給各位密碼設置的建議:密碼最好要有大寫字母、小寫字母以及數字,有拉丁字母更佳,密碼最好不得少於9位數(這是蘋果帳號的標準)。--Shwangtianyuan正義必勝!和平必勝!人民必勝! 請嚴格遵守中國國旗模板使用規則 2015年11月19日 (四) 08:42 (UTC)
恭喜人神以自己的帳號的經歷述說了《論強壯密碼的重要性》,多·謝·指·導。——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)
 謝謝你啦!--Shwangtianyuan正義必勝!和平必勝!人民必勝! 請嚴格遵守中國國旗模板使用規則 2015年11月19日 (四) 08:48 (UTC)
@cwek:好像是發起這個討論串的人神其實盜號者....在meta請求解除管理員權限的也是盜號者--百無一用是書生 () 2015年11月19日 (四) 12:39 (UTC)
既然說有兩個,那可能手上還有一個,這個盜號者可能是出於善意的提醒。但在meta的舉動就不合邏輯了。--Jasonzhuocn留言2015年11月19日 (四) 12:54 (UTC)
此時顯示出,用SHA-512驗明正身挺重要的……--Bowleerin留言2015年11月19日 (四) 13:38 (UTC)
真是複雜  囧rz...,所有舉動都不合邏輯呀。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月19日 (四) 13:43 (UTC)
  • 多謝各位這幾天的關注,我已經在管理員郵件列表聲明拿回了此帳戶的所有權。特此也在互助客棧說明一下,我的編輯中所有「2015年11月10日 (二) 22:15 」之後以及此編輯之前的更改均為盜號者所為,對此造成的不便請大家諒解。也希望各位用戶以後更加注意自己的帳戶安全。--人神之間擺哈龍門陣 2015年11月19日 (四) 19:53 (UTC)
  • 因為中國國內網際網路生態的問題,大量網站沒有使用HTTPS加密來保護帳號註冊及登錄的驗證流程,導致極易被監聽;存儲密碼時也不用加鹽的慢速hash算法而使用明文或僅使用簡單hash算法,導致資料庫外洩後用戶密碼極易被破解。這些網站泄出的信息進而會被用於建設社工庫以破解用戶的他站帳號。因此,懇請各位勿在重要帳號上使用單一密碼或有規則密碼(如單一密碼加前綴或後綴),而應使用安全的隨機密碼生成工具生成16位以上包含各式字符的密碼;如網站支持還應啟用二步驗證。業界因為密碼被猜解導致的慘痛教訓數不勝數,不要為圖一時方便讓自己成為下一案例。--菲菇維基食用菌協會 2015年11月19日 (四) 21:40 (UTC)
    • 順便對二步驗證發個牢騷,我的google帳號用手機app開了二步驗證,前幾天手機丟了,想當場進android device manager看需要登錄google帳號,但用來登錄的手機卻不在我手上了。只好回到選了「以後不再驗證」的電腦前之後再看,順便把二步驗證關了……Liangent留言 2015年11月19日 (四) 22:36 (UTC)
  • User_talk:Admiral_Alvin--Antigng留言2015年11月20日 (五) 02:38 (UTC)

我在想,會不會人神之間一念之差想解封Makecat(或者被收買),然後被管理員們強烈批評(參見討論頁),只好自稱被盜號,管理員們給個面子一起演戲?他不是以前也解封過蘋果派嘛?--WPISIL留言2015年11月21日 (六) 05:42 (UTC)

閣下剛加入維基就知道這些往事,不簡單。--203.67.5.191留言2015年11月21日 (六) 06:04 (UTC)
說不定他是潛水很久了,至於自導自演,再觀察。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月21日 (六) 08:19 (UTC)
不太可能是新用戶,馬甲吧。--123.152.43.198留言2015年11月21日 (六) 09:00 (UTC)
搞不好人神跟Makecat是同一位。(純屬猜測)--Engle躍】 2015年11月23日 (一) 03:32 (UTC)
那就跟飯桶君某個問題非常吻合了(見此頁面中的第28個問題)。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月23日 (一) 10:17 (UTC)
好複雜的情節...Wetrace 歡迎參與WP:人權專題留言2015年11月25日 (三) 10:42 (UTC)
我的維基百科密碼目前是獨立密碼,在當管理員之前不是來著--燃玉 留言 勇踏前人未至之境! 2015年12月5日 (六) 15:26 (UTC)

各位聽好,Miao233說給他個管理員帳號,也能立馬用得滾瓜爛熟。我來說說並非如此,盜號者一定是有經驗的人。盜號之後,操縱者在短短幾天內十分熟練地進行了一些操作:例如知道在哪裡查看待定的快速刪除候選,也非常熟悉中文維基百科的各項快速刪除準則,提交了許多快速刪除,經手過下列快刪:G15孤立頁面、G11廣告、A3重複條目、A1無定義短條目、O1用戶請求刪除子頁、F6無使用的版權檔案、R3錯誤重定向,所有的選項都是正確的,這一定是經驗老道的巡查員以上老手。也非常熟練的關閉存廢討論,甚至找出積壓存廢討論進行處理。甚至進階的管理行為,包含操作白紙保護兩條,在在都顯示出,這一次的盜號者是一位兩三年內曾經或現在擔任過本地管理員,且在任期間是非常勤快、經驗老到的老手。最不尋常之處,就是模仿人神之間過去曾經解封用戶的口吻,解封了曾經擔任管理員又操縱過大量傀儡的makecat。別以為這些事情很簡單,沒經驗的人做不出這種程度的。--Jasonzhuocn邀請台灣人加入 Wikimedia Taiwan2015年12月15日 (二) 06:22 (UTC)

提議:將維基百科:帳戶安全升為指引

修改WP:賬戶安全指引

本討論已經結束。請不要對這個存檔做任何編輯。
現行條文

避免使用常見密碼,諸如123456passwordmeiyoum1ma此類。更詳細的清單參見維基百科:常見密碼/10000

提議條文

避免使用常見密碼,諸如123456password此類。更詳細的清單參見維基百科:常見密碼/10000

原因:並不是太常見。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)
@Wong128hk應該雪球,浪費社群精力的提案。--YFdyh000留言2018年3月5日 (一) 04:53 (UTC)
除非本人見到社群有對此類修訂從寬之勢,不然唯有從嚴處理。事關早前那個補回《封禁方針》誤刪也可以類似於此修訂,提出來根本是浪費精力,但最終如何軒然大波。為免再來一次,一切從嚴處理。至少可以維持方針指引系統穩定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)

直接雪球吧,因為甚至後面的清單都沒有這一「常見密碼」。但因有用戶認為應提請至此,那麼直接公示七天,如無反對意見,將視為通過。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)
政策簡報中的若干「小更改」不是「從寬之勢」嗎。所謂「維持方針指引系統穩定」缺乏價值,如果所述方針並不合社群所行,保持穩定只是假的穩定和適用。您可以考慮不回退而只通報公示,如果社群並不認同修改,修改後的方針也並無效力。--YFdyh000留言2018年3月5日 (一) 12:45 (UTC)
個人並不認為方針及指引修訂應該使用雪球,因為閣下永遠無法預知會否有人反對,就算是最簡單提案。至於是否代為提案,當然可以考慮,不過修改者還是應該自行承擔提案責任。如果「維持方針指引系統穩定」是沒價值,那應該廢除此頁,容許大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)
我覺得這類修改哪怕不能雪球,縮短議程時間也是可行的(比如從傳統的7天變成3天)。——꧁༺星耀晨曦༻꧂留言2018年3月6日 (二) 04:33 (UTC)
縮短時間意義不大,放在這裡約2周才會自動存檔。所謂「公示」通過後出現的反對意見,還是要同等對待的,維基人無義務經常翻看客棧。已或未公示就修改的條文是否合理有效,要看社群接受對條文本身的接受度,而不是流程是否達標等。目前的x天公示並無明確共識,只是暫時默認。--YFdyh000留言2018年3月6日 (二) 13:02 (UTC)
閣下這樣說不無道理,但這個要說得通,得要有幾個前提。但抱歉,中文維基沒有。所以若然正式走完「暫時默認」程序以後,還要看社群接受度,那就會是死循環。--J.Wong 2018年3月7日 (三) 02:49 (UTC)
我之前主持的「設置topic名字空間的別名」議題[1],等討論出大概的情況,就公示1周;然後出現了不同的意見,但經過討論維持之前的共識,我就只留了3天的緩衝期。——꧁༺星耀晨曦༻꧂留言2018年3月7日 (三) 13:19 (UTC)
我知道是拼音,但是不是很常見啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)
i改成1是加強強度吧,很難暴力猜解了,更加不是常用密碼。--YFdyh000留言2018年3月6日 (二) 12:46 (UTC)
但其實後面所載之「更詳細的清單參見維基百科:常見密碼/10000。」中也沒有此密碼,可見是事實性的錯誤,對於此類的錯誤,也要經一般程序,乃屬官僚主義的表現,且顯得多餘。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)
常見密碼的「常見」範圍裡面有幾個是會用中文的人?沒有漢語拼音是狠正常的事情。以此說「事實錯誤」,還不如先看看所謂「事實」常見是哪個樣本範圍內的常見呢。(本來以為這句是用來假裝正經的,不過既然有這麼上綱上線的我也……笑。)——Artoria2e5 討論要完整回覆請用ping 2018年3月7日 (三) 02:40 (UTC)
好玩?  囧rz……,但請閣下搜尋「meiyoum1ma」,不論是Google或百度,均不見「meiyoum1ma」是一常用密碼。而且我對「留著無害又好玩」這一態度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
您要覺得這是問題,那就用那個笑話原版的meiyoumima唄。別人給壞密碼例子的時候,password變成p@ssw0rd也都有呢。——Artoria2e5 討論要完整回覆請用ping 2018年3月9日 (五) 16:38 (UTC)
@Artoria2e5但「meiyoumima」其實也不是太常用(難道閣下覺得這一密碼的常用程度與123456、password相若?)。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)
您若抱著好玩的態度,我們來加入「我的密碼」,「沒有密碼」,「這是密碼」吧。[開玩笑的]--YFdyh000留言2018年3月7日 (三) 12:50 (UTC)

已沒有新的反對意見。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)

權限及帳號安全

Wikipedia:帳戶安全#高權限用戶建議加入WP:界面管理員,因為可能修改JS做網絡釣魚、挖礦等,包括全局或用戶JS。請各位討論是否保留其中的管理員,被盜可能嚴重擾亂頁面或討論,但操作均可查、可撤回。Wikipedia:管理員#設計並修訂維基介面是否已過時而應移除。--YFdyh000留言2021年2月12日 (五) 10:42 (UTC)

支持;應該保留,因為是「高權限用戶」,管理員是高權限用戶;"設計並修訂維基界面"沒有過時,現在管理員是可以編輯那三處的。--安憶Talk 2021年2月12日 (五) 10:47 (UTC)
看來是我誤解,看來管理員也需要保留在內,修改界面消息也能相應地大面積釣魚。--YFdyh000留言2021年2月12日 (五) 10:58 (UTC)
建議直接雪球通過,事實修訂-- Sunny00217  2021年2月15日 (一) 08:16 (UTC)
返回專案頁面「账户安全」。