[帮助指南]
向大家通报下我们针对盗窃“弱密码”帐户采取的一些反制措施(2012-5-16更新)
汇天黑板报
5742 人阅读
|
10 人回复
|
2012-05-15
|
|
注册用户可享用更多功能,请注册。
您需要 登录 才可以下载或查看,没有帐号?快捷注册
x
近期,我们论坛也频发由于用户设置的密码过于简单而账户被盗的事件。
首先解释下这些无聊之徒盗取密码的目的和方法。
目的就是发广告。他们通过盗取密码,之后在用户的签名档中插入广告链接,从而达到散发广告的目的。
方法就是用“111111”、“123456”等这样的弱密码去匹配用户名(当然这个动作是采取软件进行自动扫描),一旦匹配成功,就会进入到该用户的用户档案中,在签名档插入广告。
为反制此类行为,我们今日上线了一些技术措施,在此向大家简要通报下。
但需要强调的是,保护自身帐户的安全,每个同学都可以自觉主动地采取一些行动,例如将密码设置为“强密码”、例如增加“密码问题”等等。毕竟,技术反制手段仅仅是提供了一些辅助的手段,而且采取技术反制将不可避免增加了系统资源的消耗,导致系统运行速度下降。
反制措施:
1、同一IP 15 分钟内尝试密码错误次数超过 9 次,将会被禁止访问两天;
2、新用户注册时,禁止使用“弱密码”(新注册的用户,注册密码中必须包含 数字,小写字母,大写字母,符号中的两种或以上);
3、老用户将密码修改为“弱密码”时,系统将自动提示风险;
4、老用户目前使用的是“弱密码”的,帐户暂时冻结,同时提示用户修改密码。只要用户修改了密码,帐户自动解冻。
5、(20120516新增)增加了用户登录论坛时,自动提示上次登陆地点。
为了反制这些无聊的行为,管理团队的成员们花费了很多的时间与精力,我们还是呼吁广大会员能主动加强密码防控,设置“强密码”或是增加“密码问题”。(若对“强密码”和“弱密码”没有直观的认识,请百度。)
|
|
|
|
|
|
|
|
|
|
|
|
eyebathe
发表于 2012-5-15 22:26
|
显示全部楼层
=================================
以下是常见的简单密码:
1) 连续的纯数字,如123456, 9876543
2) 简单重复,如 123123, 000111
3) 生日,手机号码,电话号码
4) 常用词(拼音或英文单词),如shengwu, biological, football
5) 被广泛使用简单密码,如admin888, asdfgh, 147258369, qazwsx
怎样设定强密码?
一般来说,强密码要符合以下规则
1) 长度为8个字符以上
2) 字母数字混合
3) 加入特殊符号,同时使用大小写字母
4) 定期修改密码
5) 不同网站使用不同的密码
强密码举例
CAHxveBJBEVNdpvq --完全无规则的结合
t3MEIfreryeT45410A?--?不是字典的单词,既有数字也有字母
4pRte!ai@3?--?不是字典的单词,大小写、数字、标点
fcFZdmm,n94PJbl$?--比较复杂,但是比较容易记忆(非常复杂的密码,您就是破解不了$)
(注意,这已经不是强密码,因为其已经公布在网络上)
掌握了以上内容,您的密码已经比较安全了。如需了解更多,继续阅读以下部分
要创建高强度密码,请注意以下因素:
*密码的应该达到一定的长度,推荐10位以上
*密码应该包含不同类型的字符(例如标点符号、大小写字母、特殊符号、数字);
*密码中重复字符尽量要少,例如aaaah,这样的密码强度较弱;
*尽量使用整个键盘上的字符,而不是只局限于你经常看到或者经常使用的那些;
*密码中包含某个字符串的多次重复实际上不一定安全;
*顺序或重复字符,例如12345678、222222、abcdefg,或者键盘顺序,例如qwerty,容易被预测;
*字母后面跟随数字,这个是比较常用的密码形式,此方式理论上会形成弱密码;尤其是密码中的字符串是英文单词或某个汉字的拼音的时候;
*当修改密码时,新密码应当尽量与旧密码差异大些。例如,从 "mysecretpassword6" 变到 "mysecretpassword7" 相当不安全;
*密码不应为任何语言的词典单词,例如古诗中的一句话的拼音;
*密码不应为英文逆序单词、英文常规拼错单词、以及单词缩写,也不应为汉字拼音、汉字拼音逆序;
*不要使用电子邮箱地址、网站地址、家庭住址、你的名字、生日、身份证号、护照号、或者家人的类似信息;
*密码包含词典中的单词,只是带有数字/标点的前后缀(例如. "hello!", "password1!"),容易被字典方式的攻击破解;
*密码在字典单词的基础上替换了几个字符(例如,使用 "p@aSSwOrd" 代替"password"),看起来想法比较好,但是实际上还是相当脆弱。
|
|
|
|
|
|
|
|
|
|
|
|
sccd186
发表于 2012-5-16 08:58
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
wxmlily
发表于 2012-5-17 13:56
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
我自飘麟
发表于 2012-5-19 16:58
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
abc_168
发表于 2012-5-23 09:10
|
显示全部楼层
|
密码进不去了,注册的邮箱也被停用了,没法密码重置好心急啊.这两天是用安全问题进入论坛.如何是好?求助 |
|
|
|
|
|
|
|
|
|
|
|
unclesu00
发表于 2012-5-23 21:49
|
显示全部楼层
对的,我用原来的密码也登陆不进去,幸好我原先同步到SINA微博的,用这个进去了。
但是我想改密码时需要输入原来的密码,可是我输了好几次都提示出错。晕。
想改密码也改不了了。 |
|
|
|
|
|
|
|
|
|
|
|
wwj218975
发表于 2012-5-30 12:42
|
显示全部楼层
害人的盗号者,终于可以正常登陆了。十分谢谢帮助我的人。
我发现我的信息被修改了,邮箱改为了1337663263@163.com ,希望大家注意这个邮箱。我的两个网站被盗号了。都换成了这个邮箱。 |
|
|
|
|
|
|
|
|
|
|
|
shakespity
发表于 2012-6-7 11:59
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
失忆的鱼的救赎
发表于 2012-6-7 14:03
|
显示全部楼层
|
白沙兄弟、E版你们辛苦了。我原来的csblctao被盗,气死我了。多亏了你们帮我解决了这个问题,再次深表感谢。 |
|
|
|
|
|
|
|
|
|
|
|
白沙
发表于 2012-6-9 10:27
|
显示全部楼层
shakespity 发表于 2012-6-7 11:59
楼主,不好意思,我的号码也被盗了,这几天发现发了好多广告贴,想自己删帖也删不了 深表歉意 我是同步新浪 ...
请给我发邮件。 |
|
|
|
|
|
|
|
|
|
狗仔卡
QQ好友和群
QQ空间
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡