IsaacZ 发表于 2012-5-28 23:43:54

你被盗号了吗?【注意密码安全,立刻验证邮箱!】

近日其他多个论坛爆发用户密码被窃、个人资料被修改事件,点拨论坛也出现一例。经查,密码被窃主要有以下两个方面的原因:

1、会员密码过于简单 ,比如密码为111111、123456、654123,或用户名与密码相同;
2、"2011年底密码泄漏事件" ,有些会员使用了和泄密网站相同的密码。

根据其他论坛曝光的资料,非法人员盗号以后会修改邮箱为1337*****@163.com,目前点拨论坛有9名用户有密码被窃嫌疑。为避免不必要的损失,我们将暂时锁定这些用户。


鉴于以上情况,号召所有用户登录后立刻检查自己的个人资料是否被修改,包含邮箱、昵称、签名等,如果您使用了过于简单的密码,请立刻修改密码为8位以上的复杂密码。

▲如果密码已经被修改,造成无法登录,请尝试在登录页面用当初注册时所用的邮箱来找回密码。
▲如果密码被窃,可能注册邮箱也被修改,这样就不能通过“找回密码”功能找回账号。这些帐户持有人请立刻联系站长协助找回账号。站长联系方式见本页底部“在线咨询”。

目前本站已经做的和正在做的安全工作包括:

[*]安装防恶意用户插件
[*]强制用户密码复杂度为8位以上、同时包含数字与小写英文(仅对新注册用户和修改密码的用户有效)
[*]禁止用户自行修改注册邮箱(欲修改邮箱请联系站长)

[*]推荐用户使用QQ互联注册绑定和登录,可保证密码强度,同时也方便身份验证
[*]提醒用户修改密码,尤其是2011年底泄密风波中中招的朋友务必立刻修改密码。(点此查询是否中招)
[*]开启防水墙,防止被盗用户名乱发垃圾帖子。


本次事件属于盗号者有组织有预谋的事件,为了防止盗号事件进一步扩大,请所用用户务必检查一下自己的个人资料,修改密码为强度较高的密码,对自己负责,同时也是对大家负责!




参考帖子:
创建别人不容易猜到或破解的强密码 Creating Strong Passwords
【创意征求】怎样设计出既好记又不容易忘的密码?


IsaacZ 发表于 2012-5-30 14:51:56

qfhwiyt 发表于 2012-5-30 13:51 static/image/common/back.gif
请问下盗号的人是怎么个盗法
因为登录时可以用 uid (数据库记录序号)作为用户名,所以盗号者从 UID=1 开始扫描,每次加1,搭配111111、123456、654123 等之类的弱密码一一尝试登录,如果能登录,就修改密码和个人资料,让原账号拥有者无法登录和找回密码。

另外一个就是顶楼提到的,去年年底多个大型网站用户资料泄露,有些不法之徒拿到这些资料之后,利用其中的用户名和密码一一尝试登录点拨论坛。如果相关用户在点拨论坛注册了相同的用户名且使用了相同的密码,就会让这些非法登录的尝试取得成功。

伤心的笔 发表于 2012-5-30 19:19:55

如果注册点拨论坛时,使用“使用QQ号码登录”的方式注册的,就只能从QQ上登录,用UID是登不上的,更安全

qfhwiyt 发表于 2012-5-30 13:51:53

请问下盗号的人是怎么个盗法

IsaacZ 发表于 2012-5-30 19:59:11

伤心的笔 发表于 2012-5-30 19:19 static/image/common/back.gif
如果注册点拨论坛时,使用“使用QQ号码登录”的方式注册的,就只能从QQ上登录,用UID是登不上的,更安全

是吗?还真不知道,我要测试一下。

伤心的笔 发表于 2012-5-30 20:59:38

IsaacZ 发表于 2012-5-30 19:59 static/image/common/back.gif
是吗?还真不知道,我要测试一下。

因为这样的账号根本在论坛中没有密码呀!就像Ubuntu系统默认的root账户没有密码,所以输什么密码都错,一样的道理。这样账号只有用QQ才能作为凭证。

IsaacZ 发表于 2012-5-30 21:50:37

伤心的笔 发表于 2012-5-30 20:59 static/image/common/back.gif
因为这样的账号根本在论坛中没有密码呀!就像Ubuntu系统默认的root账户没有密码,所以输什么密码都错,一 ...

明白了。

zykzk 发表于 2012-7-1 07:19:17

还好,我还可以登录。幸运没有被盗号。

shenshicai 发表于 2012-7-6 02:29:28

谢谢

gslb86 发表于 2013-6-10 12:28:55

明白了。
页: [1]
查看完整版本: 你被盗号了吗?【注意密码安全,立刻验证邮箱!】