维基百科讨论:账户安全

Jimmy-bot在话题“权限及账号安全”中的最新留言:3年前

请注意密码安全

撞库三次登进了两个管理员账号……真想吐槽大家是不是都喜欢一套账号密码打天下。已翻译Wikipedia:账号安全,请各位(尤其拥有管理员权限者)尽快设置独立密码。--人神之间摆哈龙门阵 2015年11月15日 (日) 08:30 (UTC)

一套帳密打天下是比較方便,但勸管理員們的要獨立或是定期更換,假如管理權限受到盜用,後果不堪設想。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月15日 (日) 08:56 (UTC)
能不能撞出我的?--贾大师讲大道 2015年11月15日 (日) 13:11 (UTC)
我的密码只有三位。--Antigng留言2015年11月15日 (日) 13:31 (UTC)
@Antigng  囧rz...,祝您好運。--街燈電箱150號 開箱維修 抄錶 檢驗證明 2015年11月15日 (日) 17:46 (UTC)
我一直想要一个HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)
是拿什么库撞得?我都记不清自己的密码是哪个了,每次输密码都要试上好几次--百無一用是書生 () 2015年11月16日 (一) 01:53 (UTC)
从一些网站被脱出的数据库来看,不少还是把密码明文存储的。具体不好说,免得破坏者蠢蠢欲动。--人神之间摆哈龙门阵 2015年11月16日 (一) 04:32 (UTC)
提醒一下那几个管理员吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
已发私信--人神之间摆哈龙门阵 2015年11月18日 (三) 10:18 (UTC)
人神被盗了?(震惊)——路过围观的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
然后阁下自己被盗取了?看来这事情不简单啊。--E8×E85472015年11月19日 (四) 08:25 (UTC)
好像是人神自己去meta申请解除本地管理,然后全域lock了,之后Addis根据在这个本地申请CU后本地block,现在meta解lock了,难道这样来测试账号被盗?这剧本有点看懵了。——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好像发起这个讨论串的就是盗号者冒用的账号....--百無一用是書生 () 2015年11月19日 (四) 08:39 (UTC)
这也撞中……——路过围观的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
好複雜...- 和平、奮鬥、救地球!(留言)自然條目提升地質滅絕專題2015年11月19日 (四) 08:58 (UTC)
也就是说擅自解封User:Makecat的不是人神?--Antigng留言2015年11月19日 (四) 09:02 (UTC)
(+)支持建立这个页面。给各位密码设置的建议:密码最好要有大写字母、小写字母以及数字,有拉丁字母更佳,密码最好不得少于9位数(这是苹果账号的标准)。--Shwangtianyuan正义必胜!和平必胜!人民必胜! 请严格遵守中国国旗模板使用规则 2015年11月19日 (四) 08:42 (UTC)
恭喜人神以自己的账号的经历述说了《论强壮密码的重要性》,多·谢·指·导。——路过围观的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)
 謝謝你啦!--Shwangtianyuan正义必胜!和平必胜!人民必胜! 请严格遵守中国国旗模板使用规则 2015年11月19日 (四) 08:48 (UTC)
@cwek:好像是发起这个讨论串的人神其实盗号者....在meta请求解除管理员权限的也是盗号者--百無一用是書生 () 2015年11月19日 (四) 12:39 (UTC)
既然說有兩個,那可能手上還有一個,這個盜號者可能是出於善意的提醒。但在meta的舉動就不合邏輯了。--Jasonzhuocn留言2015年11月19日 (四) 12:54 (UTC)
此時顯示出,用SHA-512驗明正身挺重要的……--Bowleerin留言2015年11月19日 (四) 13:38 (UTC)
真是複雜  囧rz...,所有舉動都不合邏輯呀。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月19日 (四) 13:43 (UTC)
  • 多谢各位这几天的关注,我已经在管理员邮件列表声明拿回了此账户的所有权。特此也在互助客栈说明一下,我的编辑中所有“2015年11月10日 (二) 22:15 ”之后以及此编辑之前的更改均为盗号者所为,对此造成的不便请大家谅解。也希望各位用户以后更加注意自己的账户安全。--人神之间摆哈龙门阵 2015年11月19日 (四) 19:53 (UTC)
  • 因为中国国内互联网生态的问题,大量网站没有使用HTTPS加密来保护账号注册及登录的验证流程,导致极易被监听;存储密码时也不用加盐的慢速hash算法而使用明文或仅使用简单hash算法,导致数据库外泄后用户密码极易被破解。这些网站泄出的信息进而会被用于建设社工库以破解用户的他站账号。因此,恳请各位勿在重要账号上使用单一密码或有规则密码(如单一密码加前缀或后缀),而应使用安全的随机密码生成工具生成16位以上包含各式字符的密码;如网站支持还应启用二步验证。业界因为密码被猜解导致的惨痛教训数不胜数,不要为图一时方便让自己成为下一案例。--菲菇维基食用菌协会 2015年11月19日 (四) 21:40 (UTC)
    • 顺便对二步验证发个牢骚,我的google帐号用手机app开了二步验证,前几天手机丢了,想当场进android device manager看需要登录google帐号,但用来登录的手机却不在我手上了。只好回到选了“以后不再验证”的电脑前之后再看,顺便把二步验证关了……Liangent留言 2015年11月19日 (四) 22:36 (UTC)
  • User_talk:Admiral_Alvin--Antigng留言2015年11月20日 (五) 02:38 (UTC)

我在想,会不会人神之间一念之差想解封Makecat(或者被收买),然后被管理员们强烈批评(参见讨论页),只好自称被盗号,管理员们给个面子一起演戏?他不是以前也解封过苹果派嘛?--WPISIL留言2015年11月21日 (六) 05:42 (UTC)

閣下剛加入維基就知道這些往事,不簡單。--203.67.5.191留言2015年11月21日 (六) 06:04 (UTC)
說不定他是潛水很久了,至於自導自演,再觀察。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月21日 (六) 08:19 (UTC)
不太可能是新用户,马甲吧。--123.152.43.198留言2015年11月21日 (六) 09:00 (UTC)
搞不好人神跟Makecat是同一位。(純屬猜測)--Engle躍】 2015年11月23日 (一) 03:32 (UTC)
那就跟飯桶君某個問題非常吻合了(見此頁面中的第28個問題)。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月23日 (一) 10:17 (UTC)
好複雜的情節...Wetrace 歡迎參與WP:人權專題留言2015年11月25日 (三) 10:42 (UTC)
我的维基百科密码目前是独立密码,在当管理员之前不是来着--燃玉 留言 勇踏前人未至之境! 2015年12月5日 (六) 15:26 (UTC)

各位聽好,Miao233說給他個管理員帳號,也能立馬用得滾瓜爛熟。我來說說並非如此,盜號者一定是有經驗的人。盜號之後,操縱者在短短幾天內十分熟練地進行了一些操作:例如知道在哪裡查看待定的快速刪除候選,也非常熟悉中文維基百科的各項快速刪除準則,提交了許多快速刪除,經手過下列快刪:G15孤立頁面、G11廣告、A3重複條目、A1無定義短條目、O1用戶請求刪除子頁、F6無使用的版權檔案、R3錯誤重定向,所有的選項都是正確的,這一定是經驗老道的巡查員以上老手。也非常熟練的關閉存廢討論,甚至找出積壓存廢討論進行處理。甚至進階的管理行為,包含操作白紙保護兩條,在在都顯示出,這一次的盜號者是一位兩三年內曾經或現在擔任過本地管理員,且在任期間是非常勤快、經驗老到的老手。最不尋常之處,就是模仿人神之間過去曾經解封用戶的口吻,解封了曾經擔任管理員又操縱過大量傀儡的makecat。別以為這些事情很簡單,沒經驗的人做不出這種程度的。--Jasonzhuocn邀請台灣人加入 Wikimedia Taiwan2015年12月15日 (二) 06:22 (UTC)

提议:将维基百科:账户安全升为指引

修改WP:賬戶安全指引

本討論已經结束。请不要对这个存档做任何编辑。
現行條文

避免使用常见密码,诸如123456passwordmeiyoum1ma此类。更详细的清单参见维基百科:常见密码/10000

提議條文

避免使用常见密码,诸如123456password此类。更详细的清单参见维基百科:常见密码/10000

原因:並不是太常見。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)
@Wong128hk应该雪球,浪费社群精力的提案。--YFdyh000留言2018年3月5日 (一) 04:53 (UTC)
除非本人見到社群有對此類修訂從寬之勢,不然唯有從嚴處理。事關早前那個補回《封禁方針》誤刪也可以類似於此修訂,提出來根本是浪費精力,但最終如何軒然大波。為免再來一次,一切從嚴處理。至少可以維持方針指引系統穩定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)

直接雪球吧,因為甚至後面的清單都沒有這一「常見密碼」。但因有用戶認為應提請至此,那麼直接公示七天,如無反對意見,將視為通過。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)
政策簡報中的若干“小更改”不是“从宽之势”吗。所谓“維持方針指引系統穩定”缺乏价值,如果所述方针并不合社群所行,保持稳定只是假的稳定和适用。您可以考虑不回退而只通报公示,如果社群并不认同修改,修改后的方针也并无效力。--YFdyh000留言2018年3月5日 (一) 12:45 (UTC)
個人並不認為方針及指引修訂應該使用雪球,因為閣下永遠無法預知會否有人反對,就算是最簡單提案。至於是否代為提案,當然可以考慮,不過修改者還是應該自行承擔提案責任。如果「維持方針指引系統穩定」是沒價值,那應該廢除此頁,容許大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)
我觉得这类修改哪怕不能雪球,缩短议程时间也是可行的(比如从传统的7天变成3天)。——꧁༺星耀晨曦༻꧂留言2018年3月6日 (二) 04:33 (UTC)
缩短时间意义不大,放在这里约2周才会自动存档。所谓“公示”通过后出现的反对意见,还是要同等对待的,维基人无义务经常翻看客栈。已或未公示就修改的条文是否合理有效,要看社群接受对条文本身的接受度,而不是流程是否达标等。目前的x天公示并无明确共识,只是暂时默认。--YFdyh000留言2018年3月6日 (二) 13:02 (UTC)
閣下這樣說不無道理,但這個要說得通,得要有幾個前提。但抱歉,中文維基沒有。所以若然正式走完「暫時默認」程序以後,還要看社群接受度,那就會是死循環。--J.Wong 2018年3月7日 (三) 02:49 (UTC)
我之前主持的“设置topic名字空间的别名”议题[1],等讨论出大概的情况,就公示1周;然后出现了不同的意见,但经过讨论维持之前的共识,我就只留了3天的缓冲期。——꧁༺星耀晨曦༻꧂留言2018年3月7日 (三) 13:19 (UTC)
我知道是拼音,但是不是很常見啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)
i改成1是加强强度吧,很难暴力猜解了,更加不是常用密码。--YFdyh000留言2018年3月6日 (二) 12:46 (UTC)
但其實後面所載之「更詳細的清單參見維基百科:常見密碼/10000。」中也沒有此密碼,可見是事實性的錯誤,對於此類的錯誤,也要經一般程序,乃屬官僚主義的表現,且顯得多餘。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)
常见密码的“常见”范围里面有几个是会用中文的人?没有汉语拼音是狠正常的事情。以此说“事实错误”,还不如先看看所谓“事实”常见是哪个样本范围内的常见呢。(本来以为这句是用来假装正经的,不过既然有这么上纲上线的我也……笑。)——Artoria2e5 讨论要完整回覆请用ping 2018年3月7日 (三) 02:40 (UTC)
好玩?  囧rz……,但請閣下搜尋“meiyoum1ma”,不論是Google或百度,均不見“meiyoum1ma”是一常用密碼。而且我對“留着无害又好玩”這一態度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
您要觉得这是问题,那就用那个笑话原版的meiyoumima呗。别人给坏密码例子的时候,password变成p@ssw0rd也都有呢。——Artoria2e5 讨论要完整回覆请用ping 2018年3月9日 (五) 16:38 (UTC)
@Artoria2e5但“meiyoumima”其實也不是太常用(難道閣下覺得這一密碼的常用程度與123456、password相若?)。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)
您若抱着好玩的态度,我们来加入“我的密码”,“没有密码”,“这是密码”吧。[開玩笑的]--YFdyh000留言2018年3月7日 (三) 12:50 (UTC)

已沒有新的反對意見。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)

权限及账号安全

Wikipedia:账户安全#高权限用户建议加入WP:界面管理员,因为可能修改JS做网络钓鱼、挖矿等,包括全局或用户JS。请各位讨论是否保留其中的管理员,被盗可能严重扰乱页面或讨论,但操作均可查、可撤回。Wikipedia:管理员#設計並修訂維基介面是否已过时而应移除。--YFdyh000留言2021年2月12日 (五) 10:42 (UTC)

支持;应该保留,因为是“高权限用户”,管理员是高权限用户;"设计并修订维基界面"没有过时,现在管理员是可以编辑那三处的。--安忆Talk 2021年2月12日 (五) 10:47 (UTC)
看来是我误解,看来管理员也需要保留在内,修改界面消息也能相应地大面积钓鱼。--YFdyh000留言2021年2月12日 (五) 10:58 (UTC)
建議直接雪球通過,事實修訂-- Sunny00217  2021年2月15日 (一) 08:16 (UTC)
返回到项目页面“账户安全”。