维基百科讨论:账户安全

本頁是以往討論的存檔。請勿編輯本頁。若您想發起新討論或重啟現有討論，請在當前討論頁進行。

请注意密码安全

最新留言：在8年前发布44条留言24人参与讨论

本主題或以下段落文字，移動自Wikipedia:互助客栈/其他。执行者：Jimmy-bot（留言） 2015年12月15日 (二) 16:42 (UTC)。

撞库三次登进了两个管理员账号……真想吐槽大家是不是都喜欢一套账号密码打天下。已翻译Wikipedia:账号安全，请各位（尤其拥有管理员权限者）尽快设置独立密码。--人神之间_{摆哈龙门阵} 2015年11月15日 (日) 08:30 (UTC)

一套帳密打天下是比較方便，但勸管理員們的要獨立或是定期更換，假如管理權限受到盜用，後果不堪設想。--火車書呆 ^{為巴黎襲擊事件罹難者致哀} 2015年11月15日 (日) 08:56 (UTC)

能不能撞出我的？--贾大师讲大道 2015年11月15日 (日) 13:11 (UTC)

我的密码只有三位。--Antigng（留言） 2015年11月15日 (日) 13:31 (UTC)

@Antigng：

囧rz...，祝您好運。--街燈電箱150號開箱維修抄錶檢驗證明 2015年11月15日 (日) 17:46 (UTC)

我一直想要一个HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)

是拿什么库撞得？我都记不清自己的密码是哪个了，每次输密码都要试上好几次--百無一用是書生 (☎) 2015年11月16日 (一) 01:53 (UTC)

从一些网站被脱出的数据库来看，不少还是把密码明文存储的。具体不好说，免得破坏者蠢蠢欲动。--人神之间_{摆哈龙门阵} 2015年11月16日 (一) 04:32 (UTC)

提醒一下那几个管理员吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)

已发私信--人神之间_{摆哈龙门阵} 2015年11月18日 (三) 10:18 (UTC)

人神被盗了？（震惊）——路过围观的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)

然后阁下自己被盗取了？看来这事情不简单啊。--E₈×E₈（547） 2015年11月19日 (四) 08:25 (UTC)

好像是人神自己去meta申请解除本地管理，然后全域lock了，之后Addis根据在这个本地申请CU后本地block，现在meta解lock了，难道这样来测试账号被盗？这剧本有点看懵了。——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)

好像发起这个讨论串的就是盗号者冒用的账号....--百無一用是書生 (☎) 2015年11月19日 (四) 08:39 (UTC)

这也撞中……——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)

好複雜...- 和平、奮鬥、救地球！_(留言)^{自然條目提升}_{地質與滅絕專題}於 2015年11月19日 (四) 08:58 (UTC)

也就是说擅自解封User:Makecat的不是人神？--Antigng（留言） 2015年11月19日 (四) 09:02 (UTC)

我(＋)支持建立这个页面。给各位密码设置的建议：密码最好要有大写字母、小写字母以及数字，有拉丁字母更佳，密码最好不得少于9位数（这是苹果账号的标准）。--Shwangtianyuan^{正义必胜！和平必胜！人民必胜！} ^{请严格遵守中国国旗模板使用规则} 2015年11月19日 (四) 08:42 (UTC)

恭喜人神以自己的账号的经历述说了《论强壮密码的重要性》，多·谢·指·导。——路过围观的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)

謝謝你啦！--Shwangtianyuan^{正义必胜！和平必胜！人民必胜！} ^{请严格遵守中国国旗模板使用规则} 2015年11月19日 (四) 08:48 (UTC)

有些討論串回應和某些人的活動有點異常，像是 Seedermaster事件第二，在大家面前玩角色扮演的感覺。人神之間被盜以後，做了一些事，包含一些管理員才熟練的操作，從結果來看，我覺得Makecat的嫌疑非常大。--Jasonzhuocn（留言） 2015年11月19日 (四) 09:11 (UTC)
- 看了 Seedermaster事件，覺得事情越來越複雜了晕...這次有CU嗎？- 和平、奮鬥、救地球！_(留言)^{自然條目提升}_{地質與滅絕專題}於 2015年11月19日 (四) 14:04 (UTC)
  - 问Jimmy Xu。--Antigng（留言） 2015年11月19日 (四) 14:06 (UTC)
- 说makecat做的，就有些过于“自由心证”了点吧？mediawiki又不是维基百科一家人用的，你给我个管理员账号，我也可以立马用得滚瓜烂熟。--Miao233（留言） 2015年11月21日 (六) 13:46 (UTC)
請參閱日誌、用戶貢獻、元維基--Jasonzhuocn（留言） 2015年11月19日 (四) 09:16 (UTC)
- User:人神之间/vector.js需要恢复？--Antigng（留言） 2015年11月19日 (四) 09:32 (UTC)

@cwek：好像是发起这个讨论串的人神其实盗号者....在meta请求解除管理员权限的也是盗号者--百無一用是書生 (☎) 2015年11月19日 (四) 12:39 (UTC)

既然說有兩個，那可能手上還有一個，這個盜號者可能是出於善意的提醒。但在meta的舉動就不合邏輯了。--Jasonzhuocn（留言） 2015年11月19日 (四) 12:54 (UTC)

此時顯示出，用SHA-512驗明正身挺重要的……--Bowleerin（留言） 2015年11月19日 (四) 13:38 (UTC)

真是複雜

囧rz...，所有舉動都不合邏輯呀。--火車書呆 ^{為巴黎襲擊事件罹難者致哀} 2015年11月19日 (四) 13:43 (UTC)

经查，账号User:A1505342 已确认为盗号者所用傀儡。--Kegns（留言） 2015年11月19日 (四) 17:31 (UTC)

多谢各位这几天的关注，我已经在管理员邮件列表声明拿回了此账户的所有权。特此也在互助客栈说明一下，我的编辑中所有“2015年11月10日 (二) 22:15 ”之后以及此编辑之前的更改均为盗号者所为，对此造成的不便请大家谅解。也希望各位用户以后更加注意自己的账户安全。--人神之间_{摆哈龙门阵} 2015年11月19日 (四) 19:53 (UTC)

因为中国国内互联网生态的问题，大量网站没有使用HTTPS加密来保护账号注册及登录的验证流程，导致极易被监听；存储密码时也不用加盐的慢速hash算法而使用明文或仅使用简单hash算法，导致数据库外泄后用户密码极易被破解。这些网站泄出的信息进而会被用于建设社工库以破解用户的他站账号。因此，恳请各位勿在重要账号上使用单一密码或有规则密码（如单一密码加前缀或后缀），而应使用安全的随机密码生成工具生成16位以上包含各式字符的密码；如网站支持还应启用二步验证。业界因为密码被猜解导致的惨痛教训数不胜数，不要为图一时方便让自己成为下一案例。--菲菇＠维基食用菌协会 2015年11月19日 (四) 21:40 (UTC)
- 顺便对二步验证发个牢骚，我的google帐号用手机app开了二步验证，前几天手机丢了，想当场进android device manager看需要登录google帐号，但用来登录的手机却不在我手上了。只好回到选了“以后不再验证”的电脑前之后再看，顺便把二步验证关了……Liangent（留言） 2015年11月19日 (四) 22:36 (UTC)
User_talk:Admiral_Alvin--Antigng（留言） 2015年11月20日 (五) 02:38 (UTC)

我在想，会不会人神之间一念之差想解封Makecat（或者被收买），然后被管理员们强烈批评（参见讨论页），只好自称被盗号，管理员们给个面子一起演戏？他不是以前也解封过苹果派嘛？--WPISIL（留言） 2015年11月21日 (六) 05:42 (UTC)

閣下剛加入維基就知道這些往事，不簡單。--203.67.5.191（留言） 2015年11月21日 (六) 06:04 (UTC)

說不定他是潛水很久了，至於自導自演，再觀察。--火車書呆 ^{為巴黎襲擊事件罹難者致哀} 2015年11月21日 (六) 08:19 (UTC)

不太可能是新用户，马甲吧。--123.152.43.198（留言） 2015年11月21日 (六) 09:00 (UTC)

搞不好人神跟Makecat是同一位。（純屬猜測）--Engle躍【✉✈㍿♛№】 2015年11月23日 (一) 03:32 (UTC)

那就跟飯桶君某個問題非常吻合了(見此頁面中的第28個問題)。--火車書呆 ^{為巴黎襲擊事件罹難者致哀} 2015年11月23日 (一) 10:17 (UTC)

好複雜的情節...Wetrace 歡迎參與WP:人權專題（留言） 2015年11月25日 (三) 10:42 (UTC)

我的维基百科密码目前是独立密码，在当管理员之前不是来着--燃玉留言 _{勇踏前人未至之境！} 2015年12月5日 (六) 15:26 (UTC)

各位聽好，Miao233說給他個管理員帳號，也能立馬用得滾瓜爛熟。我來說說並非如此，盜號者一定是有經驗的人。盜號之後，操縱者在短短幾天內十分熟練地進行了一些操作：例如知道在哪裡查看待定的快速刪除候選，也非常熟悉中文維基百科的各項快速刪除準則，提交了許多快速刪除，經手過下列快刪：G15孤立頁面、G11廣告、A3重複條目、A1無定義短條目、O1用戶請求刪除子頁、F6無使用的版權檔案、R3錯誤重定向，所有的選項都是正確的，這一定是經驗老道的巡查員以上老手。也非常熟練的關閉存廢討論，甚至找出積壓存廢討論進行處理。甚至進階的管理行為，包含操作白紙保護兩條，在在都顯示出，這一次的盜號者是一位兩三年內曾經或現在擔任過本地管理員，且在任期間是非常勤快、經驗老到的老手。最不尋常之處，就是模仿人神之間過去曾經解封用戶的口吻，解封了曾經擔任管理員又操縱過大量傀儡的makecat。別以為這些事情很簡單，沒經驗的人做不出這種程度的。--Jasonzhuocn（邀請台灣人加入 Wikimedia Taiwan）2015年12月15日 (二) 06:22 (UTC)

提议：将维基百科:账户安全升为指引

最新留言：在7年前发布16条留言12人参与讨论

本主題或以下段落文字，移動自Wikipedia:互助客栈/方针。执行者：Jimmy-bot（留言） 2017年9月15日 (五) 08:42 (UTC)。

本討論已經结束。请不要对这个存档做任何编辑。

如上面提议Draft:密碼方針那样。我想把帐户安全升为指引。不过，我也有个疑问：本地管理员真的不能使用弱密码吗？——꧁༺星耀晨曦༻꧂（留言） 2017年8月17日 (四) 07:15 (UTC)

只是额外要求至少8位（无论是哪个维基，只要是管理员就有限制），所以设成“7355608.”也能通过。--逆襲的天邪鬼（留言） 2017年8月18日 (五) 12:05 (UTC)

這本身不就是指引了嘛 囧rz...？ --Z7504（留言） 2017年8月17日 (四) 18:08 (UTC)

這個嘛..其實這個版本是元維基的方針，裏面大部分內容一年前已被英文區那堆人通過了。但元維基上當然只有英文版。--Temp3600（留言） 2017年8月17日 (四) 18:33 (UTC)看錯了另一頁。--Temp3600（留言） 2017年8月18日 (五) 17:17 (UTC)

。。目前只是信息页啊，还不是指引。——꧁༺星耀晨曦༻꧂（留言） 2017年8月18日 (五) 05:27 (UTC)

(＋)支持：請別再問為什麼要支持了 囧rz...，上面討論--Z7504（留言） 2017年8月18日 (五) 11:09 (UTC)
提升为方针都没有实际意义，仍是靠用户自行留意，不太可能强制执行，用户密码设定使用的字元，理应其他用户都看不到，不会有其他用户包括管理员能够善意提醒改密码，只能设立机制要用户设定特定的密码及强制定期改密码，但这种执行方式并不需要指引支持。至于预防其他用户可能泄露密码的个人行为，现实是连各大银行都不能预防及控制用户可能会意外泄露的行为，更何况是维基百科。--Thomas.Lu（留言） 2017年8月18日 (五) 16:44 (UTC)
不太可能強制執行不等於無實際意義，立此為指引，正正就可以起到警醒作用。如果社群認為有必要亦可以通過提案，要求技術上實行定期強制更改密碼。所以並非無實際作用。提醒亦是一個作用。教導用戶亦是一個作用。--J.Wong 2017年8月18日 (五) 16:53 (UTC)
建议把里面钦定语气比较强的字眼。比如“必须”什么之类的稍微改一改。改过后应该问题不大。--Techyan（留言） 2017年8月19日 (六) 02:16 (UTC)
- 修改了一些措辞。——꧁༺星耀晨曦༻꧂（留言） 2017年8月19日 (六) 13:44 (UTC)
(＋)支持，是好东西。虽然我顶多就 correct+horse-battery@staple8 了……——Artoria 2e5_编讨论要完整，回覆请用ping。 2017年8月20日 (日) 11:22 (UTC)
(＋)支持，帳戶安全非常重要，有必要作為指引以讓用戶重視其重要性。 $10^{2}$ 4279 _計算過程 2017年8月20日 (日) 12:28 (UTC)
(＋)支持。--B dash（留言） 2017年8月27日 (日) 02:27 (UTC)

现已开始公告。7日后，如无其它反对意见，则维基百科:账户安全成为指引。——꧁༺星耀晨曦༻꧂（留言） 2017年8月29日 (二) 04:16 (UTC)

讨论通过，该页面已成为指引。--Antigng（留言） 2017年9月5日 (二) 01:38 (UTC)

修改WP:賬戶安全指引

最新留言：在6年前发布24条留言6人参与讨论

本主題或以下段落文字，移動自WP:VPP。执行者：--J.Wong 2018年3月24日 (六) 02:13 (UTC)。

本討論已經结束。请不要对这个存档做任何编辑。

現行條文

避免使用常见密码，诸如123456、password、meiyoum1ma此类。更详细的清单参见维基百科:常见密码/10000。

提議條文

避免使用常见密码，诸如123456、password此类。更详细的清单参见维基百科:常见密码/10000。

原因：並不是太常見。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)

@Wong128hk：应该雪球，浪费社群精力的提案。--YF dyh000（留言） 2018年3月5日 (一) 04:53 (UTC)

除非本人見到社群有對此類修訂從寬之勢，不然唯有從嚴處理。事關早前那個補回《封禁方針》誤刪也可以類似於此修訂，提出來根本是浪費精力，但最終如何軒然大波。為免再來一次，一切從嚴處理。至少可以維持方針指引系統穩定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)

直接雪球吧，因為甚至後面的清單都沒有這一「常見密碼」。但因有用戶認為應提請至此，那麼直接公示七天，如無反對意見，將視為通過。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)

政策簡報中的若干“小更改”不是“从宽之势”吗。所谓“維持方針指引系統穩定”缺乏价值，如果所述方针并不合社群所行，保持稳定只是假的稳定和适用。您可以考虑不回退而只通报公示，如果社群并不认同修改，修改后的方针也并无效力。--YF dyh000（留言） 2018年3月5日 (一) 12:45 (UTC)

個人並不認為方針及指引修訂應該使用雪球，因為閣下永遠無法預知會否有人反對，就算是最簡單提案。至於是否代為提案，當然可以考慮，不過修改者還是應該自行承擔提案責任。如果「維持方針指引系統穩定」是沒價值，那應該廢除此頁，容許大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)

我觉得这类修改哪怕不能雪球，缩短议程时间也是可行的（比如从传统的7天变成3天）。——꧁༺星耀晨曦༻꧂（留言） 2018年3月6日 (二) 04:33 (UTC)

缩短时间意义不大，放在这里约2周才会自动存档。所谓“公示”通过后出现的反对意见，还是要同等对待的，维基人无义务经常翻看客栈。已或未公示就修改的条文是否合理有效，要看社群接受对条文本身的接受度，而不是流程是否达标等。目前的x天公示并无明确共识，只是暂时默认。--YF dyh000（留言） 2018年3月6日 (二) 13:02 (UTC)

閣下這樣說不無道理，但這個要說得通，得要有幾個前提。但抱歉，中文維基沒有。所以若然正式走完「暫時默認」程序以後，還要看社群接受度，那就會是死循環。--J.Wong 2018年3月7日 (三) 02:49 (UTC)

這是沒有密碼的拚音，不知道幾年前的互聯網梗的樣子，但i改成1就不知道為何了。--Zest 2018年3月6日 (二) 04:46 (UTC)

我之前主持的“设置topic名字空间的别名”议题[1]，等讨论出大概的情况，就公示1周;然后出现了不同的意见，但经过讨论维持之前的共识，我就只留了3天的缓冲期。——꧁༺星耀晨曦༻꧂（留言） 2018年3月7日 (三) 13:19 (UTC)

我知道是拼音，但是不是很常見啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)

i改成1是加强强度吧，很难暴力猜解了，更加不是常用密码。--YF dyh000（留言） 2018年3月6日 (二) 12:46 (UTC)

但其實後面所載之「更詳細的清單參見維基百科:常見密碼/10000。」中也沒有此密碼，可見是事實性的錯誤，對於此類的錯誤，也要經一般程序，乃屬官僚主義的表現，且顯得多餘。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)

常见密码的“常见”范围里面有几个是会用中文的人？没有汉语拼音是狠正常的事情。以此说“事实错误”，还不如先看看所谓“事实”常见是哪个样本范围内的常见呢。（本来以为这句是用来假装正经的，不过既然有这么上纲上线的我也……笑。）——Artoria 2e5_编讨论要完整，回覆请用ping。 2018年3月7日 (三) 02:40 (UTC)

Artoria2e5君︰請問有何意見？--J.Wong 2018年3月6日 (二) 12:21 (UTC)
- 留着无害又好玩，不是很想删掉。要假装正经的话，那就说「10000密码表过分偏重英语用户，没有拼音密码是很正常的事情」吧。——Artoria 2e5_编讨论要完整，回覆请用ping。 2018年3月7日 (三) 02:34 (UTC)

好玩？

囧rz……，但請閣下搜尋“meiyoum1ma”，不論是Google或百度，均不見“meiyoum1ma”是一常用密碼。而且我對“留着无害又好玩”這一態度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)

您要觉得这是问题，那就用那个笑话原版的meiyoumima呗。别人给坏密码例子的时候，password变成p@ssw0rd也都有呢。——Artoria 2e5_编讨论要完整，回覆请用ping。 2018年3月9日 (五) 16:38 (UTC)

@Artoria2e5：但“meiyoumima”其實也不是太常用（難道閣下覺得這一密碼的常用程度與123456、password相若？）。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)

您若抱着好玩的态度，我们来加入“我的密码”，“没有密码”，“这是密码”吧。^{[開玩笑的]}--YF dyh000（留言） 2018年3月7日 (三) 12:50 (UTC)

Artoria2e5君︰尚有否其他回應？--J.Wong 2018年3月9日 (五) 07:26 (UTC)

已沒有新的反對意見。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)

权限及账号安全

最新留言：在3年前发布5条留言4人参与讨论

本主題或以下段落文字，移動自Wikipedia:互助客栈/方针。执行者：Jimmy-bot（留言） 2021年2月23日 (二) 16:14 (UTC)。

Wikipedia:账户安全#高权限用户建议加入WP:界面管理员，因为可能修改JS做网络钓鱼、挖矿等，包括全局或用户JS。请各位讨论是否保留其中的管理员，被盗可能严重扰乱页面或讨论，但操作均可查、可撤回。~~Wikipedia:管理员#設計並修訂維基介面是否已过时而应移除。~~--YF dyh000（留言） 2021年2月12日 (五) 10:42 (UTC)

支持；应该保留，因为是“高权限用户”，管理员是高权限用户；"设计并修订维基界面"没有过时，现在管理员是可以编辑那三处的。--安忆 ^Talk 2021年2月12日 (五) 10:47 (UTC)

看来是我误解，看来管理员也需要保留在内，修改界面消息也能相应地大面积钓鱼。--YF dyh000（留言） 2021年2月12日 (五) 10:58 (UTC)

建議直接雪球通過，事實修訂-- Sunny00217 2021年2月15日 (一) 08:16 (UTC)