維基百科討論:賬戶安全
本頁是以往討論的存檔。請勿編輯本頁。若您想發起新討論或重啟現有討論,請在當前討論頁進行。 |
請注意密碼安全
撞庫三次登進了兩個管理員賬號……真想吐槽大家是不是都喜歡一套賬號密碼打天下。已翻譯Wikipedia:賬號安全,請各位(尤其擁有管理員權限者)儘快設置獨立密碼。--人神之間擺哈龍門陣 2015年11月15日 (日) 08:30 (UTC)
- 一套帳密打天下是比較方便,但勸管理員們的要獨立或是定期更換,假如管理權限受到盜用,後果不堪設想。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月15日 (日) 08:56 (UTC)
- 能不能撞出我的?--
賈大師講大道2015年11月15日 (日) 13:11 (UTC)- 我的密碼只有三位。--Antigng(留言) 2015年11月15日 (日) 13:31 (UTC)
- @Antigng: 囧rz...,祝您好運。--街燈電箱150號 開箱維修 抄錶 檢驗證明 2015年11月15日 (日) 17:46 (UTC)
- 我一直想要一個HMAC-TOTP呢。Bluedeck Paris Attacks 2015年11月15日 (日) 18:36 (UTC)
- 是拿什麼庫撞得?我都記不清自己的密碼是哪個了,每次輸密碼都要試上好幾次--百無一用是書生 (☎) 2015年11月16日 (一) 01:53 (UTC)
- 從一些網站被脫出的數據庫來看,不少還是把密碼明文存儲的。具體不好說,免得破壞者蠢蠢欲動。--人神之間擺哈龍門陣 2015年11月16日 (一) 04:32 (UTC)
- 提醒一下那幾個管理員吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
- 已發私信--人神之間擺哈龍門陣 2015年11月18日 (三) 10:18 (UTC)
- 人神被盜了?(震驚)——路過圍觀的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
- 然後閣下自己被盜取了?看來這事情不簡單啊。--E8×E8(547) 2015年11月19日 (四) 08:25 (UTC)
- 好像是人神自己去meta申請解除本地管理,然後全域lock了,之後Addis根據在這個本地申請CU後本地block,現在meta解lock了,難道這樣來測試賬號被盜?這劇本有點看懵了。——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 好像發起這個討論串的就是盜號者冒用的賬號....--百無一用是書生 (☎) 2015年11月19日 (四) 08:39 (UTC)
- 這也撞中……——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 好複雜...- 和平、奮鬥、救地球!(留言)自然條目提升地質與滅絕專題於 2015年11月19日 (四) 08:58 (UTC)
- 也就是說擅自解封User:Makecat的不是人神?--Antigng(留言) 2015年11月19日 (四) 09:02 (UTC)
- 好複雜...- 和平、奮鬥、救地球!(留言)自然條目提升地質與滅絕專題於 2015年11月19日 (四) 08:58 (UTC)
- 這也撞中……——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:42 (UTC)
- 然後閣下自己被盜取了?看來這事情不簡單啊。--E8×E8(547) 2015年11月19日 (四) 08:25 (UTC)
- 人神被盜了?(震驚)——路過圍觀的Sakamotosan 2015年11月19日 (四) 01:53 (UTC)
- 已發私信--人神之間擺哈龍門陣 2015年11月18日 (三) 10:18 (UTC)
- 提醒一下那幾個管理員吧……Ben.mq 2015年11月18日 (三) 09:23 (UTC)
- 從一些網站被脫出的數據庫來看,不少還是把密碼明文存儲的。具體不好說,免得破壞者蠢蠢欲動。--人神之間擺哈龍門陣 2015年11月16日 (一) 04:32 (UTC)
- @Antigng: 囧rz...,祝您好運。--街燈電箱150號 開箱維修 抄錶 檢驗證明 2015年11月15日 (日) 17:46 (UTC)
- 我的密碼只有三位。--Antigng(留言) 2015年11月15日 (日) 13:31 (UTC)
- 能不能撞出我的?--
- 我(+)支持建立這個頁面。給各位密碼設置的建議:密碼最好要有大寫字母、小寫字母以及數字,有拉丁字母更佳,密碼最好不得少於9位數(這是蘋果賬號的標準)。--Shwangtianyuan正義必勝!和平必勝!人民必勝! 請嚴格遵守中國國旗模板使用規則 2015年11月19日 (四) 08:42 (UTC)
- 恭喜人神以自己的賬號的經歷述說了《論強壯密碼的重要性》,多·謝·指·導。——路過圍觀的Sakamotosan 2015年11月19日 (四) 08:45 (UTC)
- 有些討論串回應和某些人的活動有點異常,像是 Seedermaster事件第二,在大家面前玩角色扮演的感覺。人神之間被盜以後,做了一些事,包含一些管理員才熟練的操作,從結果來看,我覺得Makecat的嫌疑非常大。--Jasonzhuocn(留言) 2015年11月19日 (四) 09:11 (UTC)
- 看了 Seedermaster事件,覺得事情越來越複雜了 暈...這次有CU嗎?- 和平、奮鬥、救地球!(留言)自然條目提升地質與滅絕專題於 2015年11月19日 (四) 14:04 (UTC)
- 問Jimmy Xu。--Antigng(留言) 2015年11月19日 (四) 14:06 (UTC)
- 說makecat做的,就有些過於「自由心證」了點吧?mediawiki又不是維基百科一家人用的,你給我個管理員賬號,我也可以立馬用得滾瓜爛熟。--Miao233(留言) 2015年11月21日 (六) 13:46 (UTC)
- 看了 Seedermaster事件,覺得事情越來越複雜了 暈...這次有CU嗎?- 和平、奮鬥、救地球!(留言)自然條目提升地質與滅絕專題於 2015年11月19日 (四) 14:04 (UTC)
- 請參閱日誌、用戶貢獻、元維基--Jasonzhuocn(留言) 2015年11月19日 (四) 09:16 (UTC)
- @cwek:好像是發起這個討論串的人神其實盜號者....在meta請求解除管理員權限的也是盜號者--百無一用是書生 (☎) 2015年11月19日 (四) 12:39 (UTC)
- 既然說有兩個,那可能手上還有一個,這個盜號者可能是出於善意的提醒。但在meta的舉動就不合邏輯了。--Jasonzhuocn(留言) 2015年11月19日 (四) 12:54 (UTC)
- 此時顯示出,用SHA-512驗明正身挺重要的……--Bowleerin(留言) 2015年11月19日 (四) 13:38 (UTC)
- 真是複雜 囧rz...,所有舉動都不合邏輯呀。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月19日 (四) 13:43 (UTC)
- 此時顯示出,用SHA-512驗明正身挺重要的……--Bowleerin(留言) 2015年11月19日 (四) 13:38 (UTC)
- 既然說有兩個,那可能手上還有一個,這個盜號者可能是出於善意的提醒。但在meta的舉動就不合邏輯了。--Jasonzhuocn(留言) 2015年11月19日 (四) 12:54 (UTC)
- @cwek:好像是發起這個討論串的人神其實盜號者....在meta請求解除管理員權限的也是盜號者--百無一用是書生 (☎) 2015年11月19日 (四) 12:39 (UTC)
- 經查,賬號User:A1505342 已確認為盜號者所用傀儡。--Kegns(留言) 2015年11月19日 (四) 17:31 (UTC)
- 多謝各位這幾天的關注,我已經在管理員郵件列表聲明拿回了此賬戶的所有權。特此也在互助客棧說明一下,我的編輯中所有「2015年11月10日 (二) 22:15 」之後以及此編輯之前的更改均為盜號者所為,對此造成的不便請大家諒解。也希望各位用戶以後更加注意自己的賬戶安全。--人神之間擺哈龍門陣 2015年11月19日 (四) 19:53 (UTC)
- 因為中國國內互聯網生態的問題,大量網站沒有使用HTTPS加密來保護賬號註冊及登錄的驗證流程,導致極易被監聽;存儲密碼時也不用加鹽的慢速hash算法而使用明文或僅使用簡單hash算法,導致數據庫外泄後用戶密碼極易被破解。這些網站泄出的信息進而會被用於建設社工庫以破解用戶的他站賬號。因此,懇請各位勿在重要賬號上使用單一密碼或有規則密碼(如單一密碼加前綴或後綴),而應使用安全的隨機密碼生成工具生成16位以上包含各式字符的密碼;如網站支持還應啟用二步驗證。業界因為密碼被猜解導致的慘痛教訓數不勝數,不要為圖一時方便讓自己成為下一案例。--菲菇@維基食用菌協會 2015年11月19日 (四) 21:40 (UTC)
- 順便對二步驗證發個牢騷,我的google帳號用手機app開了二步驗證,前幾天手機丟了,想當場進android device manager看需要登錄google帳號,但用來登錄的手機卻不在我手上了。只好回到選了「以後不再驗證」的電腦前之後再看,順便把二步驗證關了……Liangent(留言) 2015年11月19日 (四) 22:36 (UTC)
- User_talk:Admiral_Alvin--Antigng(留言) 2015年11月20日 (五) 02:38 (UTC)
我在想,會不會人神之間一念之差想解封Makecat(或者被收買),然後被管理員們強烈批評(參見討論頁),只好自稱被盜號,管理員們給個面子一起演戲?他不是以前也解封過蘋果派嘛?--WPISIL(留言) 2015年11月21日 (六) 05:42 (UTC)
- 閣下剛加入維基就知道這些往事,不簡單。--203.67.5.191(留言) 2015年11月21日 (六) 06:04 (UTC)
- 說不定他是潛水很久了,至於自導自演,再觀察。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月21日 (六) 08:19 (UTC)
- 不太可能是新用戶,馬甲吧。--123.152.43.198(留言) 2015年11月21日 (六) 09:00 (UTC)
- 搞不好人神跟Makecat是同一位。(純屬猜測)--Engle躍【✉✈㍿♛№】 2015年11月23日 (一) 03:32 (UTC)
- 那就跟飯桶君某個問題非常吻合了(見此頁面中的第28個問題)。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月23日 (一) 10:17 (UTC)
- 好複雜的情節...Wetrace 歡迎參與WP:人權專題(留言) 2015年11月25日 (三) 10:42 (UTC)
- 那就跟飯桶君某個問題非常吻合了(見此頁面中的第28個問題)。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月23日 (一) 10:17 (UTC)
- 搞不好人神跟Makecat是同一位。(純屬猜測)--Engle躍【✉✈㍿♛№】 2015年11月23日 (一) 03:32 (UTC)
- 不太可能是新用戶,馬甲吧。--123.152.43.198(留言) 2015年11月21日 (六) 09:00 (UTC)
- 說不定他是潛水很久了,至於自導自演,再觀察。--火車書呆 為巴黎襲擊事件罹難者致哀 2015年11月21日 (六) 08:19 (UTC)
- 我的維基百科密碼目前是獨立密碼,在當管理員之前不是來着--燃玉 留言 勇踏前人未至之境! 2015年12月5日 (六) 15:26 (UTC)
各位聽好,Miao233說給他個管理員帳號,也能立馬用得滾瓜爛熟。我來說說並非如此,盜號者一定是有經驗的人。盜號之後,操縱者在短短幾天內十分熟練地進行了一些操作:例如知道在哪裡查看待定的快速刪除候選,也非常熟悉中文維基百科的各項快速刪除準則,提交了許多快速刪除,經手過下列快刪:G15孤立頁面、G11廣告、A3重複條目、A1無定義短條目、O1用戶請求刪除子頁、F6無使用的版權檔案、R3錯誤重定向,所有的選項都是正確的,這一定是經驗老道的巡查員以上老手。也非常熟練的關閉存廢討論,甚至找出積壓存廢討論進行處理。甚至進階的管理行為,包含操作白紙保護兩條,在在都顯示出,這一次的盜號者是一位兩三年內曾經或現在擔任過本地管理員,且在任期間是非常勤快、經驗老到的老手。最不尋常之處,就是模仿人神之間過去曾經解封用戶的口吻,解封了曾經擔任管理員又操縱過大量傀儡的makecat。別以為這些事情很簡單,沒經驗的人做不出這種程度的。--Jasonzhuocn(邀請台灣人加入 Wikimedia Taiwan)2015年12月15日 (二) 06:22 (UTC)
提議:將維基百科:賬戶安全升為指引
如上面提議Draft:密碼方針那樣。我想把帳戶安全升為指引。不過,我也有個疑問:本地管理員真的不能使用弱密碼嗎?——꧁༺星耀晨曦༻꧂(留言) 2017年8月17日 (四) 07:15 (UTC)
- 只是額外要求至少8位(無論是哪個維基,只要是管理員就有限制),所以設成「7355608.」也能通過。--逆襲的天邪鬼(留言) 2017年8月18日 (五) 12:05 (UTC)
- 這本身不就是指引了嘛 囧rz...? --Z7504(留言) 2017年8月17日 (四) 18:08 (UTC)
這個嘛..其實這個版本是元維基的方針,裏面大部分內容一年前已被英文區那堆人通過了。但元維基上當然只有英文版。--Temp3600(留言) 2017年8月17日 (四) 18:33 (UTC)看錯了另一頁。--Temp3600(留言) 2017年8月18日 (五) 17:17 (UTC)- 。。目前只是信息頁啊,還不是指引。——꧁༺星耀晨曦༻꧂(留言) 2017年8月18日 (五) 05:27 (UTC)
- (+)支持:請別再問為什麼要支持了 囧rz...,上面討論--Z7504(留言) 2017年8月18日 (五) 11:09 (UTC)
- 提升為方針都沒有實際意義,仍是靠用戶自行留意,不太可能強制執行,用戶密碼設定使用的字元,理應其他用戶都看不到,不會有其他用戶包括管理員能夠善意提醒改密碼,只能設立機制要用戶設定特定的密碼及強制定期改密碼,但這種執行方式並不需要指引支持。至於預防其他用戶可能泄露密碼的個人行為,現實是連各大銀行都不能預防及控制用戶可能會意外泄露的行為,更何況是維基百科。--Thomas.Lu(留言) 2017年8月18日 (五) 16:44 (UTC)
- 不太可能強制執行不等於無實際意義,立此為指引,正正就可以起到警醒作用。如果社群認為有必要亦可以通過提案,要求技術上實行定期強制更改密碼。所以並非無實際作用。提醒亦是一個作用。教導用戶亦是一個作用。--J.Wong 2017年8月18日 (五) 16:53 (UTC)
- 建議把裡面欽定語氣比較強的字眼。比如「必須」什麼之類的稍微改一改。改過後應該問題不大。--Techyan(留言) 2017年8月19日 (六) 02:16 (UTC)
- (+)支持,是好東西。雖然我頂多就 correct+horse-battery@staple8 了……——Artoria2e5編 討論要完整,回覆請用ping。 2017年8月20日 (日) 11:22 (UTC)
- (+)支持,帳戶安全非常重要,有必要作為指引以讓用戶重視其重要性。 4279計算過程 2017年8月20日 (日) 12:28 (UTC)
- (+)支持。--B dash(留言) 2017年8月27日 (日) 02:27 (UTC)
現已開始公告。7日後,如無其它反對意見,則維基百科:賬戶安全成為指引。——꧁༺星耀晨曦༻꧂(留言) 2017年8月29日 (二) 04:16 (UTC)
討論通過,該頁面已成為指引。--Antigng(留言) 2017年9月5日 (二) 01:38 (UTC)
修改WP:賬戶安全指引
|
|
- 原因:並不是太常見。--【和平至上】💬📝 2018年3月4日 (日) 23:51 (UTC)
- @Wong128hk:應該雪球,浪費社群精力的提案。--YFdyh000(留言) 2018年3月5日 (一) 04:53 (UTC)
- 除非本人見到社群有對此類修訂從寬之勢,不然唯有從嚴處理。事關早前那個補回《封禁方針》誤刪也可以類似於此修訂,提出來根本是浪費精力,但最終如何軒然大波。為免再來一次,一切從嚴處理。至少可以維持方針指引系統穩定。--J.Wong 2018年3月5日 (一) 05:08 (UTC)
- 直接雪球吧,因為甚至後面的清單都沒有這一「常見密碼」。但因有用戶認為應提請至此,那麼直接公示七天,如無反對意見,將視為通過。--【和平至上】💬📝 2018年3月5日 (一) 09:19 (UTC)
- 政策簡報中的若干「小更改」不是「從寬之勢」嗎。所謂「維持方針指引系統穩定」缺乏價值,如果所述方針並不合社群所行,保持穩定只是假的穩定和適用。您可以考慮不回退而只通報公示,如果社群並不認同修改,修改後的方針也並無效力。--YFdyh000(留言) 2018年3月5日 (一) 12:45 (UTC)
- 個人並不認為方針及指引修訂應該使用雪球,因為閣下永遠無法預知會否有人反對,就算是最簡單提案。至於是否代為提案,當然可以考慮,不過修改者還是應該自行承擔提案責任。如果「維持方針指引系統穩定」是沒價值,那應該廢除此頁,容許大家各有各改呀。--J.Wong 2018年3月5日 (一) 16:33 (UTC)
- 我覺得這類修改哪怕不能雪球,縮短議程時間也是可行的(比如從傳統的7天變成3天)。——꧁༺星耀晨曦༻꧂(留言) 2018年3月6日 (二) 04:33 (UTC)
- 縮短時間意義不大,放在這裡約2周才會自動存檔。所謂「公示」通過後出現的反對意見,還是要同等對待的,維基人無義務經常翻看客棧。已或未公示就修改的條文是否合理有效,要看社群接受對條文本身的接受度,而不是流程是否達標等。目前的x天公示並無明確共識,只是暫時默認。--YFdyh000(留言) 2018年3月6日 (二) 13:02 (UTC)
- 閣下這樣說不無道理,但這個要說得通,得要有幾個前提。但抱歉,中文維基沒有。所以若然正式走完「暫時默認」程序以後,還要看社群接受度,那就會是死循環。--J.Wong 2018年3月7日 (三) 02:49 (UTC)
- 縮短時間意義不大,放在這裡約2周才會自動存檔。所謂「公示」通過後出現的反對意見,還是要同等對待的,維基人無義務經常翻看客棧。已或未公示就修改的條文是否合理有效,要看社群接受對條文本身的接受度,而不是流程是否達標等。目前的x天公示並無明確共識,只是暫時默認。--YFdyh000(留言) 2018年3月6日 (二) 13:02 (UTC)
- 我覺得這類修改哪怕不能雪球,縮短議程時間也是可行的(比如從傳統的7天變成3天)。——꧁༺星耀晨曦༻꧂(留言) 2018年3月6日 (二) 04:33 (UTC)
- 這是沒有密碼的拚音,不知道幾年前的互聯網梗的樣子,但i改成1就不知道為何了。--Zest 2018年3月6日 (二) 04:46 (UTC)
- 我之前主持的「設置topic名字空間的別名」議題[1],等討論出大概的情況,就公示1周;然後出現了不同的意見,但經過討論維持之前的共識,我就只留了3天的緩衝期。——꧁༺星耀晨曦༻꧂(留言) 2018年3月7日 (三) 13:19 (UTC)
- 我知道是拼音,但是不是很常見啊……尤其i改成1更是不明所以。--【和平至上】💬📝 2018年3月6日 (二) 11:30 (UTC)
- i改成1是加強強度吧,很難暴力猜解了,更加不是常用密碼。--YFdyh000(留言) 2018年3月6日 (二) 12:46 (UTC)
- 但其實後面所載之「更詳細的清單參見維基百科:常見密碼/10000。」中也沒有此密碼,可見是事實性的錯誤,對於此類的錯誤,也要經一般程序,乃屬官僚主義的表現,且顯得多餘。--【和平至上】💬📝 2018年3月6日 (二) 11:37 (UTC)
- Artoria2e5君︰請問有何意見?--J.Wong 2018年3月6日 (二) 12:21 (UTC)
- 好玩? 囧rz……,但請閣下搜尋「meiyoum1ma」,不論是Google或百度,均不見「meiyoum1ma」是一常用密碼。而且我對「留着無害又好玩」這一態度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
- 您要覺得這是問題,那就用那個笑話原版的meiyoumima唄。別人給壞密碼例子的時候,password變成p@ssw0rd也都有呢。——Artoria2e5編 討論要完整,回覆請用ping。 2018年3月9日 (五) 16:38 (UTC)
- @Artoria2e5:但「meiyoumima」其實也不是太常用(難道閣下覺得這一密碼的常用程度與123456、password相若?)。--【和平至上】💬📝 2018年3月9日 (五) 16:58 (UTC)
- 您要覺得這是問題,那就用那個笑話原版的meiyoumima唄。別人給壞密碼例子的時候,password變成p@ssw0rd也都有呢。——Artoria2e5編 討論要完整,回覆請用ping。 2018年3月9日 (五) 16:38 (UTC)
- 您若抱着好玩的態度,我們來加入「我的密碼」,「沒有密碼」,「這是密碼」吧。[開玩笑的]--YFdyh000(留言) 2018年3月7日 (三) 12:50 (UTC)
- 好玩? 囧rz……,但請閣下搜尋「meiyoum1ma」,不論是Google或百度,均不見「meiyoum1ma」是一常用密碼。而且我對「留着無害又好玩」這一態度有所保留。--【和平至上】💬📝 2018年3月7日 (三) 09:23 (UTC)
- Artoria2e5君︰尚有否其他回應?--J.Wong 2018年3月9日 (五) 07:26 (UTC)
已沒有新的反對意見。--【和平至上】💬📝 2018年3月16日 (五) 14:18 (UTC)
權限及賬號安全
Wikipedia:賬戶安全#高權限用戶建議加入WP:界面管理員,因為可能修改JS做網絡釣魚、挖礦等,包括全局或用戶JS。請各位討論是否保留其中的管理員,被盜可能嚴重擾亂頁面或討論,但操作均可查、可撤回。Wikipedia:管理員#設計並修訂維基介面是否已過時而應移除。--YFdyh000(留言) 2021年2月12日 (五) 10:42 (UTC)
- 支持;應該保留,因為是「高權限用戶」,管理員是高權限用戶;"設計並修訂維基界面"沒有過時,現在管理員是可以編輯那三處的。--安憶Talk 2021年2月12日 (五) 10:47 (UTC)
- 看來是我誤解,看來管理員也需要保留在內,修改界面消息也能相應地大面積釣魚。--YFdyh000(留言) 2021年2月12日 (五) 10:58 (UTC)
- 建議直接雪球通過,事實修訂-- Sunny00217 2021年2月15日 (一) 08:16 (UTC)