Wikipedia:账户安全：修订间差异

交互式浏览历史

←上一版本下一版本→

删除的内容添加的内容

可视化wikitext

行内

2022年11月3日 (四) 16:37的版本

本頁是中文維基百科的指引，經社群商議並採納。
使用者一般應該盡量遵守此指引。如果出現例外情況，最好使用常識判斷此指引是否合適。
任何對此指引的編輯都必須反映社群共識，否則請先於討論頁或互助客棧發起討論。

快捷方式

本頁簡而言之：请为了您自己和社群着想，注意您帐号的安全。

帐户安全由很多方面构成，其中主要包括帐号密码和其他关联设备的安全。失窃的账号会在没有警告的情况下被禁封，而且一般不会被解封，除非有证据表明该账号已回到了失主的手中。

密码

所有注册用户都需要密码才能登录，密码能防止其他人冒充您。注册用户可以在参数设置頁更改密码。编者都应该使用强密码。如果不这样做的话，那些猜测或破解了您密码的家伙就能用您的账号为所欲为，从而伤害您的权利和破坏社群。2016年11月，维基百科创始人的帐号被盗，盗号者操控帐号破坏英文维基百科首页，并解除首页保护，对英文维基百科造成极大影响。

强密码仅是账号安全的不充分必要条件。在多处使用同一密码是账号被盗的主因：有心人获知其一，便能撞库入侵一众账号。使用公共电脑時，要当心键盘记录。

同时，尽量不要将您的个人电脑给他人使用。

最后，请尽快确认您的电子邮箱。确认电子邮箱不止可以收到条目的编辑通知这个好处，还可在大部分情况下帮助您恢复密码。如果您在参数设置頁设置了电邮地址，就可以在忘记密码或被盗号时重置密码，前提是要确保邮箱安全。

安全密码设置

根据经验法则，日常用的密码要够长，用大小写字母和数字的组合，而且不包括字典单词、姓名和个人资料（如出生日期等）。纯小写字母组成的密码也行，但需要加长才能称作安全。当然，使用多强的密码取决于用户对本账号的重视程度。

避免使用常见密码如「123456」、「password」此类。更详细的清单参见维基百科:常见密码/10000。

维基百科在服务器端散列用户密码，且已强制开启HTTPS端对端加密，故无需过于担心服务器和传输过程中的泄密问题。

高权限人員

在维基百科，只有特定帳號能执行一些特权操作，强烈建议这些用戶使用独立且复杂的强密码。管理员、行政员、用户查核员、监督员、模板編輯員，一旦账号有失，危害甚巨。基于安全考量，失窃的特权账号可能會被永久撤销权限。在有充分证据表明失窃的账号已物归原主时，经行政员裁量可恢复权限。

维基媒体系统管理员偶尔会尝试破解特权用户的密码，并禁用那些易破解的弱密码。

目前，管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、跨維基匯入者可開啟兩步認證，這樣只有同時輸入正確密碼和驗證碼才能登入。詳情見元維基相關介紹。如果普通用户也想用兩步認證，请到m:SRGP申请“Two-factor authentication testers”权限。

证明身份

以下措施可有助于在账户失窃后重新夺回控制权：

给账户设置邮箱，并确保邮箱安全，这样即使账号密码遭篡改也能夺回账户。
使用{{User committed identity}}。原理大致如下：随便想一些只有本人知道的文字，用SHA-512等方法散列。因为通常情况下其他人无法通过散列结果推测原文，所以只要在需要情况下公开散列前的内容，其他人即可用同样方法散列，从而判断是否为本人。另外这种证明只有效一次，公开原文后要立刻更换新密文。
使用PGP或GPG，公开自己的公钥，这样只要在需要时签名（注意应附带时间戳）即可证明是本人。
与维基外账号关联：例如在站内指出某个Twitter账号是自己，只要保证Twitter账号不失窃，大家同样可以相信你已夺回账号。

参见

@@ 第8行： / 第8行： @@
 '''帐户安全'''由很多方面构成，其中主要包括帐号密码和其他关联设备的安全。失窃的账号会在没有警告的情况下被禁封，而且一般不会被解封，除非有证据表明该账号已回到了失主的手中。
 == 密码 ==
-所有注册用户都需要[[密碼 (認證)|密码]]才能登录，密码能防止其他人冒充您。注册用户可以访问[[Help:参数设置|参数设置]]来更改其密码。编者都应该使用[[密码强度|强密码]]。如果不这样做的话，那些猜测或破解了您密码的家伙就能用您的账号为所欲为，从而伤害您的权利和破坏社群。2016年11月，维基百科的创始人的帐号被盗，盗号者操控创始人帐号对英文维基百科的首页进行了[https://en.wikipedia.org/w/index.php?title=Main_Page&action=history&year=2016&month=11 破坏]，并解除了首页的保护，对英文维基百科造成了极大的影响。
+所有注册用户都需要[[密碼 (認證)|密码]]才能登录，密码能防止其他人冒充您。注册用户可以在[[Help:参数设置|参数设置]]頁更改密码。编者都应该使用[[密码强度|强密码]]。如果不这样做的话，那些猜测或破解了您密码的家伙就能用您的账号为所欲为，从而伤害您的权利和破坏社群。2016年11月，维基百科创始人的帐号被盗，盗号者操控帐号[https://en.wikipedia.org/w/index.php?title=Main_Page&action=history&year=2016&month=11 破坏]英文维基百科首页，并解除首页保护，对英文维基百科造成极大影响。
-[[File:Enwiki destroyed-screenshot.png|thumb|维基百科创始人被盗号后对英文维基百科首页的伤害的记录]]
+[[File:Enwiki destroyed-screenshot.png|thumb|维基百科创始人被盗号后对英文维基百科首页的伤害之记录]]
-强密码仅是账号安全的[[充分必要条件|不充分必要条件]]。在多处使用同样的密码是账号被盗的主要原因：有心人获知其中之一，便能撞库进入一众账号。使用公共电脑的情况下，要当心[[键盘记录]]。
+强密码仅是账号安全的[[充分必要条件|不充分必要条件]]。在多处使用同一密码是账号被盗的主因：有心人获知其一，便能撞库入侵一众账号。使用公共电脑時，要当心[[键盘记录]]。
 同时，尽量不要将您的个人电脑给他人使用。
-最后，请尽快确认您的电子邮箱。确认电子邮箱不止可以收到条目的编辑通知这个好处，还可以在大部分情况下帮助您恢复密码。如果您在[[Special:参数设置|参数设置]]中设置了电子邮件地址的话，就可以在忘记密码或被盗号时[[Special:重置密码|重置密码]]，前提是邮箱要确保安全。
+最后，请尽快确认您的电子邮箱。确认电子邮箱不止可以收到条目的编辑通知这个好处，还可在大部分情况下帮助您恢复密码。如果您在[[Special:参数设置|参数设置]]頁设置了电邮地址，就可以在忘记密码或被盗号时[[Special:重置密码|重置密码]]，前提是要确保邮箱安全。
 === 安全密码设置===
-根据[[经验法则]]，供日常使用的密码要足够长，用大小写字母和数字的组合，而且不包括字典单词、姓名和个人资料（如出生日期等）。纯小写字母组成的密码也行，但需要加长才能称作安全。当然，使用多强的密码取决于用户对本账号的重视程度。
+根据[[经验法则]]，日常用的密码要够长，用大小写字母和数字的组合，而且不包括字典单词、姓名和个人资料（如出生日期等）。纯小写字母组成的密码也行，但需要加长才能称作安全。当然，使用多强的密码取决于用户对本账号的重视程度。
-'''避免使用常见密码'''，诸如「123456」、「password」此类。更详细的清单参见[[Wikipedia:常見密碼/10000|维基百科:常见密码/10000]]。
+'''避免使用常见密码'''如「123456」、「password」此类。更详细的清单参见[[Wikipedia:常見密碼/10000|维基百科:常见密码/10000]]。
-维基百科对用户密码进行服务器端[[散列函數|散列]]，且已强制开启[[超文本传输安全协议|HTTPS]]进行端对端加密，故无需过于担心服务器和传输过程中的泄密问题。
+维基百科在服务器端[[散列函數|散列]]用户密码，且已强制开启[[超文本传输安全协议|HTTPS]]端对端加密，故无需过于担心服务器和传输过程中的泄密问题。
-== 高权限用户 ==
+== 高权限人員 ==
-在维基百科上，只有特定用户能执行一些特权操作，强烈建议这些账号使用'''独立'''且'''复杂'''的强密码。[[Wikipedia:管理员|管理员]]、[[Wikipedia:行政员|行政员]]、[[Wikipedia:用户查核|用户查核员]]、[[Wikipedia:监督|监督员]]、[[Wikipedia:模板編輯員|模板編輯員]]，一旦账号有失，危害甚巨。基于安全考量，失窃的特权账号或許将被永久性撤销权限。在有充分证据表明失窃的账号已物归原主时，经行政员裁量可恢复权限。
+在维基百科，只有特定帳號能执行一些特权操作，强烈建议这些用戶使用'''独立'''且'''复杂'''的强密码。[[Wikipedia:管理员|管理员]]、[[Wikipedia:行政员|行政员]]、[[Wikipedia:用户查核|用户查核员]]、[[Wikipedia:监督|监督员]]、[[Wikipedia:模板編輯員|模板編輯員]]，一旦账号有失，危害甚巨。基于安全考量，失窃的特权账号可能會被永久撤销权限。在有充分证据表明失窃的账号已物归原主时，经行政员裁量可恢复权限。
-[[m:System administrators|维基媒体系统管理员]]偶尔会尝试破解特权用户的密码，并禁用那些能破解出的弱密码。
+[[m:System administrators|维基媒体系统管理员]]偶尔会尝试破解特权用户的密码，并禁用那些易破解的弱密码。
-目前，管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、[[Wikipedia:跨維基匯入者|跨維基匯入者]]可開啟[[2FA]]，這樣只有同時輸入正確的密碼和驗證碼才能登入。詳情見[[m:Special:MyLanguage/Help:Two-factor authentication|元維基相關介紹]]。如果普通用户也想使用2FA，请到[[m:SRGP]]申请“Two-factor authentication testers”权限。
+目前，管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、[[Wikipedia:跨維基匯入者|跨維基匯入者]]可開啟[[2FA|兩步認證]]，這樣只有同時輸入正確密碼和驗證碼才能登入。詳情見[[m:Special:MyLanguage/Help:Two-factor authentication|元維基相關介紹]]。如果普通用户也想用兩步認證，请到[[m:SRGP]]申请“Two-factor authentication testers”权限。
 == 证明身份 ==
 以下措施可有助于在账户失窃后重新夺回控制权：
-* 给账户设置邮箱，并确保邮箱安全，这样即使账号密码遭到篡改也能夺回账户。
+* 给账户设置邮箱，并确保邮箱安全，这样即使账号密码遭篡改也能夺回账户。
-* 使用{{tl|User committed identity}}。原理大致如下：随便想一些只有本人知道的文字，通过[[SHA-512]]等方法进行散列。因为通常情况下其他人无法通过散列后的结果推测原文，所以只要在需要的情况下公开散列之前的内容，其他人即可使用同样方法进行散列，从而判断是否为本人。另外这种证明是一次性的，公开原文之后要立刻更换新的密文。
+* 使用{{tl|User committed identity}}。原理大致如下：随便想一些只有本人知道的文字，用[[SHA-512]]等方法散列。因为通常情况下其他人无法通过散列结果推测原文，所以只要在需要情况下公开散列前的内容，其他人即可用同样方法散列，从而判断是否为本人。另外这种证明只有效一次，公开原文后要立刻更换新密文。
-* 使用[[PGP]]或[[GPG]]，公开自己的公钥，这样只要在需要时进行签名（注意应附带[[时间戳]]）即可证明是本人。
+* 使用[[PGP]]或[[GPG]]，公开自己的公钥，这样只要在需要时签名（注意应附带[[时间戳]]）即可证明是本人。
-* 与维基外账号关联：例如在站内指出某个Twitter账号是自己，只要保证Twitter账号不失窃，大家同样可以相信你已经夺回账号。
+* 与维基外账号关联：例如在站内指出某个Twitter账号是自己，只要保证Twitter账号不失窃，大家同样可以相信你已夺回账号。
 == 参见 ==