Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 146784|回复: 334

亡羊补牢 - 论坛帐号密码安全浅谈

  [复制链接]
发表于 2013-11-30 09:04 | 显示全部楼层 |阅读模式
本帖最后由 hudizhoutube 于 2013-12-2 00:07 编辑

    在正式起草这篇帖子之前, 还是强调一下水区的老规矩 - 小恶魔每帖加分上限为 5 邪恶指数.
本身我已经脱离 "晋级用户组" 许久了, 比起分数上的增长, 如果受邀而来的诸位能更加重视帐号密码安全,
甚至能更进一步给帐号加上 安全提问 的话, 那么我写这篇帖的初衷也算是实现了.


-------------------------------------------------------------------------------------------------------

    在此先以一篇真实的事迹做开头 - 因为一些特殊的减免政策, 完成九年义务教育之后, 当时初迈入高中的我
借读于偏远地区的省级重点....  对于更多寒窗苦读的莘莘学子而言, 如果没有取得一个理想的高考成绩,
除了愧对父母以外, 可能要走上回家务农的道路....

    基于这样颇具激励性的 "逆境", 这所高校历年高考过线率在我市前三...
在我毕业那年, 学校过重点线人数更是一举夺魁...


    但是一个学校就算有夺目的成绩, 它也总有些见不得光 不为人知的事情 -
在我高二的时候早已耳闻当届高三体检结果 "很不乐观" 的事, 有不少班级甚至曝出了接近一半班级总人数的
乙型病毒性肝炎携带者...

    当年实际上并没有相关政策去维护这个 "特殊群体" , 虽然当时的我无法去详细统计专业与类别,
但我也清楚的了解许多一流学府 包括更晚以后工作可能会遇到的一流企业对这个群体是会说 "不" 的..
( 网上随意搜索的一点资料 -
http://wenwen.soso.com/z/q175463322.htm )
这样的结果, 恐怕会让很多莘莘学子与梦想失之交臂...

    得知了这件事情以后, 当时的我简单起草了几份 "建议使用一次性碗筷, 或自备碗筷, 在检查之后注射疫苗" 的通告.
悄悄粘贴在洗手间, 食堂和操场入口...

    冥冥之中总有偶然, K 是这个年级文科前十的尖子生... 某天午饭时间, 隔壁寝室的他跑来和我闲聊此事,
对于我的处事风格他还是有所了解, 他说不用想那通告一定出自我手.

    K 在看了我的公告以后如实去做了检查并注射了乙肝疫苗, 在 K 注射后的几天, 学校正好也进行了体检.
然而在 K 注射疫苗之后, 学校体检之前曾与他共餐给他夹菜的同学后来被查出了是病毒携带者,
K 的体检顺利通过了...

    虽然与 K 在网上的联系不多, 但我清楚的知道如果当初没有我 "多事" 的一笔, 或许成绩出类拔萃的他
真的要与一流学府的梦想失之交臂了...


    那么回到 CHH, 我们不将再与真实的病毒做斗争, 在二进制的世界里, 在帐号安全问题上,
我们将与虚拟的病毒和恶意程序相抗衡...


    在媒体的焦点越来越多的投到 "扶不起的老人" 的时候, 我想更多的人不会去争做好人, 争做好事了..
但在这个虚拟的社会中, 在这个论坛, 我希望还是尽上自己的一份义务, 或许算得上是一点社会责任感.

评分

参与人数 44邪恶指数 +729 收起 理由
JJ皮蛋JJ + 5 赞下文笔,顺带问下是否后悔没回家务农~笑.
lgboy18 + 15
NICONICO + 50
丁丁 + 5
qwerty + 5
Riven + 5
pczcw + 50
哈比菌 + 10
hdbeijing + 10
ice168 + 5 很给力!
123loeb + 5
asusalike + 10
wmx + 5 密保问题早设置了
好卡等等我 + 5
加加 + 10 赞一个!
198714 + 10
yangsuo + 10
edisonhyz + 50
trashgod + 5 很给力!
PoiSoN + 5

查看全部评分

 楼主| 发表于 2013-11-30 09:42 | 显示全部楼层
本帖最后由 hudizhoutube 于 2013-12-1 09:34 编辑

来自 PCbeta 的安全公告 - http://bbs.pcbeta.com/viewthread-1439086-1-1.html
<<即日起全体用户组发帖均需要通过审核后才能发布>> by PCbeta.com ( ID: prince-yu317 )

    自上次某站被搬库事件发生后, 各大网站就陆续不少ID出现被盗情况. 但当时远景论坛的ID涉及极少,
我们就并未大规模通知各位, 然而在此后的日子里, 间或有会员 ID 出现被盗的情况而发布广告或违法信息.
如果你从未用相同 ID 在其他曾经发生泄漏事件的网站中注册的话, 则无须担心.

    很遗憾地告知大家这个结果. 然而, 不法分子已经盯上了你们的账号, 试图利用你们地 ID 在远景论坛发布违法信息.
为了避免任何违法信息的发布给我们和你带来的麻烦, 我们需要将所有会员的发帖全部加入审核序列中.
由于管理人手不足, 审核通常会消耗1分钟至1小时不等的时间, 造成的困扰我们非常抱歉.

    另, 我们强烈呼吁各位给自己的账号加上安全问题. 我们也会从即日起逐步推行安全问题策略,
希望各位尽早加上保护问题以免受到影响. 此外, 已经增加安全问题的账号今后发表内容也会有不需要审核等优势.

    此外, 也希望各位重视账号安全, 健康上网, 避免自己的密码遭到泄漏. 加强防范意识, 使用强密码
( 数字, 大小写无序字母和符号的组合 ) 来保护自己的账号, 保护我们的论坛.

    任何发布违法信息的账号均会被清空所有信息. 请珍惜自己的账号和发布的文章.
如果你在增加登陆问题后遇到无法登陆的情况请发送邮件到 [email protected] 找回密码,
发送邮件请附上你的 ID 和注册邮箱验证身份.

( PCbeta 用户 ) 点击这里 前往修改密码问题.

增加保护问题有什么好处或坏处?
1.允许浏览器自动填充的话只需要登陆时输入密码问题即可;
2.保存 Cookies 的话登陆时并不需要输入密码和密码问题;
3.很快就会针对增加保护问题的会员开放发帖不需经过审核;
4.忘记密码问题可以发送邮件到 [email protected] 申请恢复;
5.没有任何人可以看到你的密码问题, 所以无需担心泄漏隐私的可能.

-------------------------------------------------------------------------------------------------------

    虽然一个更倾向硬件, 一个更偏重软件, 但 Chiphell 与 PCbeta 都是基于 Discuz! 的论坛.
同样的方法, 亦能提升帐号安全...


    CHH 用户 点击此处 ( 登录帐号后, 进 "设置" , 点 "密码安全" 栏目即是. ) 可增加安全提问...

1.png

    保存 Cookies 的浏览器, 在勾选 "保存密码" 和 "自动登录" 以后, 每次登录无需再输入安全提示问答.
除非重装浏览器, 或被第三方优化软件彻底清除掉浏览器历史记录及上网痕迹.
当然也希望诸位妥善保管密码安全提示问答, 或将其深深的记在脑海里...


2.png

在此处也小小八卦一下, CHH 大恶魔 - 猪肉小包子 与 远景管理 prince-yu317 ( 本安全公告发布者 )
有什么关系? -
冥冥之中总有偶然, 我看此事必有蹊跷!

点评

安全性最高的不是保护问题,而是答案和问题无关的保护问题  发表于 2013-12-2 06:00

评分

参与人数 2邪恶指数 +60 收起 理由
猪肉小包子 + 50
198714 + 10

查看全部评分

 楼主| 发表于 2013-12-1 01:05 | 显示全部楼层
3.png

一. "刷库" 与 同一套帐号密码方案通用所有论坛..
http://www.sootoo.com/content/214113.shtml

4.png

5.png

6.png

二. 以钩子和键盘记录技术为核心的病毒, 木马或者恶意程序.

http://en.wikipedia.org/wiki/Hooking
http://hi.baidu.com/564332554/item/738ac58dab5f56d05f0ec157

7.png

8.png

9.png

四. 网站窃听与抓包技术
http://zh.wikipedia.org/wiki/Https

11.png

12.png

13.png

点评

使用GoAgent的可以双击程序目录里面的CA.crt双击安装到受信任的根证书颁发机构,那个提示也不会出现  发表于 2013-12-2 06:07

评分

参与人数 2邪恶指数 +39 收起 理由
lziyuan29 + 29
198714 + 10 辛苦啦

查看全部评分

 楼主| 发表于 2013-12-1 23:56 | 显示全部楼层
本帖最后由 hudizhoutube 于 2013-12-3 06:57 编辑

14.png

http://news.163.com/09/0716/06/5EAS811A00011229.html

15.png

16.png

17.png

18.png

19.png

- Rootkit 技术
http://en.wikipedia.org/wiki/Rootkithttp://huaidan.org/archives/2767.html

20.png

21.png

22.png

三. 拆解与分析简单病毒的原理, "裸奔" 及手动杀毒用户的福音.

    还是提前说明一下: Universal Extractor ( 万能解包器, 下简称 "UniExt" ) 与 Sandboxie ( 沙盘 )
并不是真正意义上的安全软件, 它们也不能查杀病毒, 而是在用户有一定基础的大前提之下,
它们能帮助用户更好的分析与了解病毒.

    在没有多个系统备份的情况下建议不要模仿以下操作, ( 有一些病毒会删除 gho 镜像,
除非预设的 .gho 镜像已保存在网盘或光盘之上 ) 实际上足够强力的病毒或许有穿透沙盘而危害到本机的可能性.

23.png

24.png

25.png

26.png

27.png

28.png

29.png

30.1.png

31.png

32.png
发表于 2013-12-2 00:09 | 显示全部楼层
好!论坛帐号安全靠自己。

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:13 | 显示全部楼层
土鳖管管发帖,狂顶啦~

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:18 | 显示全部楼层
已阅                     

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:19 | 显示全部楼层
[后悔]本人深知被盗密码后的痛苦...幸好有邮件验证

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:19 | 显示全部楼层
我的账号被盗过,至今不知道是怎么被盗的。
邮箱等注册信息均被修改了,还好有万能的O帝!

以后会注意账号的安全问题,楼主讲这么多,我也没看完,但是加个安全提问是必须的~

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:22 | 显示全部楼层
加了,必须的

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:23 | 显示全部楼层
太长。。。


评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:24 | 显示全部楼层
本帖最后由 allcon 于 2013-12-2 00:33 编辑

                                              长篇小说                      ,还是辛苦了。   

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:25 | 显示全部楼层
帖子写得用心
简而言之 设置安全问答 养成好的习惯和安装好的杀软 尽量不要在陌生机器上登录账号

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:27 | 显示全部楼层
1L究竟是。。。。?

点评

1楼的用意主要是希望大家尽上一点自己力所能及的义务, 即使是微不足道的事情.  发表于 2013-12-2 08:07

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:28 来自手机 | 显示全部楼层
好专业啊!话说包子那头像使用率还是蛮高的

点评

我就是一般人,大众脸大众id大众头像  发表于 2013-12-2 18:44
"论包子头像的领导风范?" : )  发表于 2013-12-2 08:10

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:28 | 显示全部楼层
。。。完全看不懂 只好细细品味了

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:30 | 显示全部楼层
我竟然看完了,大家还是麻烦点把自己的安全设置提升吧,省的到时候又找次小姐了

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:33 | 显示全部楼层
hudizhoutube 发表于 2013-12-1 23:56
http://news.163.com/09/0716/06/5EAS811A00011229.html

自己是学计算机专业这方面的 所以对这些原理有一定的理解。
确实账号安全大部分是靠大家。极少情况是数据库管理的失误。

点评

CSDN 那些老技术员看来犯傻咯, 居然是明文... 当时没详细了解新闻的我还在想咋给破解了?  发表于 2013-12-2 08:12

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:33 | 显示全部楼层
真正的技术帖,一定会火的

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:35 | 显示全部楼层
hudizhoutube 发表于 2013-12-1 23:56
http://news.163.com/09/0716/06/5EAS811A00011229.html

另外我觉得 杀软是只辅助, 盗号与否取决于用户的习惯。比如乱下东西什么的。

发表于 2013-12-2 00:37 | 显示全部楼层
楼主,举例子之前能查一下乙肝的传播途径么。都大学毕业了,还不知道乙肝的传播途径是啥么?

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:40 | 显示全部楼层
真惨 到现在还有骑士乙肝病毒携带者

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:40 | 显示全部楼层
不明觉历!
不过我还是很听话的去设置了一个登录问题,谢谢!

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:41 | 显示全部楼层
好高端的样子

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

 楼主| 发表于 2013-12-2 00:43 | 显示全部楼层
silencechen 发表于 2013-12-2 00:37
楼主,举例子之前能查一下乙肝的传播途径么。都大学毕业了,还不知道乙肝的传播途径是啥么? ...

母婴, 血液 和 性生活... 共餐的几率其实是很低的... ( 虽然学校把一次性碗筷也给回收了 )

在当时的情况下可以说是草木皆兵了,

毕竟我不医学专业的, 这篇帖的主旨也不是要与真实的病毒做斗争,

这个例子就和我当初张贴公告的性质一样, 希望引起更多人去重视帐号安全问题.

发表于 2013-12-2 00:44 | 显示全部楼层
只能说 太能写

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

 楼主| 发表于 2013-12-2 00:45 | 显示全部楼层
xianghao9506 发表于 2013-12-2 00:35
另外我觉得 杀软是只辅助, 盗号与否取决于用户的习惯。比如乱下东西什么的。

...

所以我有很长一段时间没有用杀软了, 我一直在用第四段中的

UniExt + Sandboxie

发表于 2013-12-2 00:47 | 显示全部楼层
hudizhoutube 发表于 2013-12-2 00:43
母婴, 血液 和 性生活... 共餐的几率其实是很低的... ( 虽然学校把一次性碗筷也给回收了 )

在当时的情况 ...

目的再好也不应该举一个错误的例子,这样不好。
我国历史上有段时间对乙肝的宣传是很吓人,我也赶上过,但是这都过去了,你可以举别的例子的,你这样做又传播了错误的知识,造成了没有必要的困扰。
发表于 2013-12-2 00:47 | 显示全部楼层
基本注意不上不干净的网站 不乱下东西就不会出事  

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

发表于 2013-12-2 00:47 | 显示全部楼层
定期改密码,ID跟密码都写在记事本存保险箱……

评分

参与人数 1邪恶指数 +5 收起 理由
hudizhoutube + 5

查看全部评分

您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2021-9-21 06:58 , Processed in 0.019338 second(s), 11 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

© 2007-2021 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表