Wikipedia:账户安全:修订间差异
+noteta |
WhitePhosphorus(留言 | 贡献) 小 zh-hans 被转换成接口管理员了 |
||
| (未显示3个用户的3个中间版本) | |||
| 第1行: | 第1行: | ||
{{noteTA |
{{noteTA |
||
|G1=IT |
|G1=IT |
||
|G2=MediaWiki |
|||
}} |
}} |
||
{{Guideline|WP:安全|WP:密码}} |
{{Guideline|WP:安全|WP:密码}} |
||
| 第6行: | 第7行: | ||
'''帐户安全'''由很多方面构成,其中主要包括帐号密码和其他关联设备的安全。失窃的账号会在没有警告的情况下被禁封,而且一般不会被解封,除非有证据表明该账号已回到了失主的手中。 |
'''帐户安全'''由很多方面构成,其中主要包括帐号密码和其他关联设备的安全。失窃的账号会在没有警告的情况下被禁封,而且一般不会被解封,除非有证据表明该账号已回到了失主的手中。 |
||
==密码== |
== 密码 == |
||
所有注册用户都需要[[密 |
所有注册用户都需要[[密碼 (認證)|密码]]才能登录,密码能防止其他人冒充您。注册用户可以访问[[Help:参数设置|参数设置]]来更改其密码。编者都应该使用[[密码强度|强密码]]。如果不这样做的话,那些猜测或破解了您密码的家伙就能用您的账号为所欲为,从而伤害您的权利和破坏社群。2016年11月,维基百科的创始人的帐号被盗,盗号者操控创始人帐号对英文维基百科的首页进行了[https://en.wikipedia.org/w/index.php?title=Main_Page&action=history&year=2016&month=11 破坏],并解除了首页的保护,对英文维基百科造成了极大的影响。 |
||
[[File:Enwiki destroyed-screenshot.png|thumb|维基百科创始人被盗号后对英文维基百科首页的伤害的记录]] |
[[File:Enwiki destroyed-screenshot.png|thumb|维基百科创始人被盗号后对英文维基百科首页的伤害的记录]] |
||
强密码仅是账号安全的[[充分必要条件| |
强密码仅是账号安全的[[充分必要条件|不充分必要条件]]。在多处使用同样的密码是账号被盗的主要原因:有心人获知其中之一,便能撞库进入一众账号。使用公共电脑的情况下,要当心[[键盘记录]]。 |
||
同时,尽量不要将您的个人电脑给他人使用。 |
同时,尽量不要将您的个人电脑给他人使用。 |
||
| 第19行: | 第20行: | ||
根据[[经验法则]],供日常使用的密码要足够长,用大小写字母和数字的组合,而且不包括字典单词、姓名和个人资料(如出生日期等)。纯小写字母组成的密码也行,但需要加长才能称作安全。当然,使用多强的密码取决于用户对本账号的重视程度。 |
根据[[经验法则]],供日常使用的密码要足够长,用大小写字母和数字的组合,而且不包括字典单词、姓名和个人资料(如出生日期等)。纯小写字母组成的密码也行,但需要加长才能称作安全。当然,使用多强的密码取决于用户对本账号的重视程度。 |
||
'''避免使用常见密码''',诸如 |
'''避免使用常见密码''',诸如「123456」、「password」此类。更详细的清单参见[[Wikipedia:常見密碼/10000|维基百科:常见密码/10000]]。 |
||
维基百科对用户密码进行服务器端[[散列]],且已强制开启[[HTTPS]]进行端对端加密,故无需过于担心服务器和传输过程中的泄密问题。 |
维基百科对用户密码进行服务器端[[散列函數|散列]],且已强制开启[[超文本传输安全协议|HTTPS]]进行端对端加密,故无需过于担心服务器和传输过程中的泄密问题。 |
||
== 高权限用户 == |
== 高权限用户 == |
||
在维基百科上,只有特定用户能执行一些特权操作,强烈建议这些账号使用'''独立'''且'''复杂'''的强密码。[[Wikipedia:管理员|管理员]]、[[Wikipedia:行政员|行政员]]、[[Wikipedia:用户查核|用户查核员]]、[[Wikipedia:监督|监督 |
在维基百科上,只有特定用户能执行一些特权操作,强烈建议这些账号使用'''独立'''且'''复杂'''的强密码。[[Wikipedia:管理员|管理员]]、[[Wikipedia:行政员|行政员]]、[[Wikipedia:用户查核|用户查核员]]、[[Wikipedia:监督|监督员]]、[[Wikipedia:模板編輯員|模板編輯員]],一旦账号有失,危害甚巨。基于安全考量,失窃的特权账号或許将被永久性撤销权限。在有充分证据表明失窃的账号已物归原主时,经行政员裁量可恢复权限。 |
||
[[m:System administrators|维基媒体系统管理员]]偶尔会尝试破解特权用户的密码,并禁用那些能破解出的弱密码。 |
[[m:System administrators|维基媒体系统管理员]]偶尔会尝试破解特权用户的密码,并禁用那些能破解出的弱密码。 |
||
目前,管理員 |
目前,管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、[[Wikipedia:跨維基匯入者|跨維基匯入者]]可開啟[[2FA]],這樣只有同時輸入正確的密碼和驗證碼才能登入。詳情見[[m:Special:MyLanguage/Help:Two-factor authentication|元維基相關介紹]]。如果普通用户也想使用2FA,请到[[m:SRGP]]申请“Two-factor authentication testers”权限。 |
||
== 证明身份 == |
== 证明身份 == |
||
2021年2月12日 (五) 16:53的版本
 |
 | 本頁簡而言之:请为了您自己和社群着想,注意您帐号的安全。 |
帐户安全由很多方面构成,其中主要包括帐号密码和其他关联设备的安全。失窃的账号会在没有警告的情况下被禁封,而且一般不会被解封,除非有证据表明该账号已回到了失主的手中。
密码
所有注册用户都需要密码才能登录,密码能防止其他人冒充您。注册用户可以访问参数设置来更改其密码。编者都应该使用强密码。如果不这样做的话,那些猜测或破解了您密码的家伙就能用您的账号为所欲为,从而伤害您的权利和破坏社群。2016年11月,维基百科的创始人的帐号被盗,盗号者操控创始人帐号对英文维基百科的首页进行了破坏,并解除了首页的保护,对英文维基百科造成了极大的影响。
强密码仅是账号安全的不充分必要条件。在多处使用同样的密码是账号被盗的主要原因:有心人获知其中之一,便能撞库进入一众账号。使用公共电脑的情况下,要当心键盘记录。
同时,尽量不要将您的个人电脑给他人使用。
最后,请尽快确认您的电子邮箱。确认电子邮箱不止可以收到条目的编辑通知这个好处,还可以在大部分情况下帮助您恢复密码。如果您在参数设置中设置了电子邮件地址的话,就可以在忘记密码或被盗号时重置密码,前提是邮箱要确保安全。
安全密码设置
根据经验法则,供日常使用的密码要足够长,用大小写字母和数字的组合,而且不包括字典单词、姓名和个人资料(如出生日期等)。纯小写字母组成的密码也行,但需要加长才能称作安全。当然,使用多强的密码取决于用户对本账号的重视程度。
避免使用常见密码,诸如「123456」、「password」此类。更详细的清单参见维基百科:常见密码/10000。
维基百科对用户密码进行服务器端散列,且已强制开启HTTPS进行端对端加密,故无需过于担心服务器和传输过程中的泄密问题。
高权限用户
在维基百科上,只有特定用户能执行一些特权操作,强烈建议这些账号使用独立且复杂的强密码。管理员、行政员、用户查核员、监督员、模板編輯員,一旦账号有失,危害甚巨。基于安全考量,失窃的特权账号或許将被永久性撤销权限。在有充分证据表明失窃的账号已物归原主时,经行政员裁量可恢复权限。
维基媒体系统管理员偶尔会尝试破解特权用户的密码,并禁用那些能破解出的弱密码。
目前,管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、跨維基匯入者可開啟2FA,這樣只有同時輸入正確的密碼和驗證碼才能登入。詳情見元維基相關介紹。如果普通用户也想使用2FA,请到m:SRGP申请“Two-factor authentication testers”权限。
证明身份
以下措施可有助于在账户失窃后重新夺回控制权:
- 给账户设置邮箱,并确保邮箱安全,这样即使账号密码遭到篡改也能夺回账户。
- 使用{{User committed identity}}。原理大致如下:随便想一些只有本人知道的文字,通过SHA-512等方法进行散列。因为通常情况下其他人无法通过散列后的结果推测原文,所以只要在需要的情况下公开散列之前的内容,其他人即可使用同样方法进行散列,从而判断是否为本人。另外这种证明是一次性的,公开原文之后要立刻更换新的密文。
- 使用PGP或GPG,公开自己的公钥,这样只要在需要时进行签名(注意应附带时间戳)即可证明是本人。
- 与维基外账号关联:例如在站内指出某个Twitter账号是自己,只要保证Twitter账号不失窃,大家同样可以相信你已经夺回账号。
参见
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||