账号被盗恶意登录,现在密码改成了 100 位强密码并启用了双重认证,这下安全了吧?
kebamt · 2021-06-21 23:47:33 +08:00 via iPhone · 7998 次点击这是一个创建于 1240 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
Dreax 2021-06-21 23:50:38 +08:00  3
 |
 |
2
leavic 2021-06-21 23:54:30 +08:00 2
我还没见过几个网站支持 100 位密码的。
|
 |
3
kebamt OP 说起来就很难受,电脑中 Trojan 病毒此号不知情,被别人 1 .登录 Google Ads 用我账号推广了自己的违反 Google Guidlines 的垃圾广告 10 多天( Google 发现可以把我的 Google Adsl 账号给 suspend (暂停)了),还好 Google Adsl 由 1 个月的试用期,口德是 Google 赠送的试用费用。2.给 Youtube 上传垃圾违反 YouTube Guidlines 的视频导致 YouTube 账号遭到了限制了,导致封了我 YouTUbe 账号 7 天。
|
 |
6
TypeError 2021-06-22 00:04:45 +08:00
病毒来源是什么,说出来给我们借鉴下
可疑网页还是破解软件? |
 |
7
Tianao 2021-06-22 00:07:23 +08:00 via iPhone
好家伙,key 级 password,你搁这儿导密钥呢。
|
|
8
kebamt OP |
|
9
kebamt OP 我知道病毒来源了(那小子在用我的频道上传垃圾视频,视频简介里有链接),按那链接小心翼翼的去下载那个软件,安全软件立马给拦截了,查杀结果跟之前的一样,看来不用安全软件裸奔是不行的。
那个垃圾病毒链接(不建议在未开启安全软件下去尝试):📁Link Mediafire: https://www.mediafire.com/folder/jwkei85ufe2uw/[Update]+Discord+Nitro+Generator ⚙️Password: 123 |
|
10
kebamt OP 上面链接里有此次事件详细描述。
|
 |
11
crclz 2021-06-22 00:43:57 +08:00 1
其实 100 字符和十几个字符差距不大
|
 |
12
edinina 2021-06-22 00:49:20 +08:00
说到密码,说个题外的,Google 和 apple 的密码保存里都在提醒有多少个网站密码被泄漏了,我这大概显示得有 100 多个网站,你们都会挨个改吗?还是选择无视了
|
 |
13
anranruoxia 2021-06-22 00:53:43 +08:00 via iPhone
@edinina 无视
|
 |
16
xiadong1994 2021-06-22 05:00:49 +08:00 via iPhone
800bit 的密钥
|
 |
17
dingwen07 2021-06-22 05:12:38 +08:00 via iPhone 1
|
 |
18
5xX4U5sUwdELgdQ3 2021-06-22 07:41:35 +08:00
@edinina 改了,花了一下午时间迁移到 bitwarden,重要网站都重新验证后修改成强密码,一些基本不会再使用的论坛密码就不理了
|
 |
21
ybbswc 2021-06-22 08:28:59 +08:00
其实两步验证就能避免大部分的盗窃。
|
 |
22
Clash 2021-06-22 08:32:09 +08:00 1
用了密码管理器后,别说 100 位,1024 位我都敢设置
只要是不能复制粘贴密码的网站,我就不用了 |
 |
23
0o0O0o0O0o 2021-06-22 08:47:27 +08:00 via iPhone
按照你的描述,和密码强度没有关系,哪怕两步验证也没用
|
 |
25
Rache1 2021-06-22 09:25:39 +08:00
😂 有些应用服务商很奇葩,他会在本地把你的密码使用 md5 进行计算,然后传给后端,后端再对这个 32 位的 hash 进行 hash 然后保存,这时候,你的密码即使有 100 位的数字英文符号组合,在服务器看来,也就只是 32 个字母而已了
|
 |
26
shakoon 2021-06-22 09:36:23 +08:00 1
越来越多的网站和 app 采用了国密算法,密码输入框是不能复制和粘贴的,密码保存软件不知道以后如何应对
|
 |
28
cmdOptionKana 2021-06-22 09:47:44 +08:00
@felixlong google 账号不是本地密码,这些云端账号本来就不能暴力破解。
|
 |
29
Lemeng 2021-06-22 09:54:01 +08:00
100 位?牛了,不过有了两步验证不就很安全了?
如果两步都能破,100 位,估计也没啥问题了 |
 |
30
terence4444 2021-06-22 09:57:18 +08:00 1
Google 账号启用 TOTP 就够了,实际上所有重要的账号都需要 2FA
|
 |
31
typetraits 2021-06-22 10:21:41 +08:00
看了下 1Password 里储存的密码,近 600 个网站中只有不到 30 个使用了特定规则生成的密码用于手工输入,其余网站全部使用随机生成的强密码
国内网站绝大多数都支持手机验证码登录,密码随便设置一个就够了 |
 |
33
xieqiqiang00 2021-06-22 10:34:45 +08:00
@pkoukk 可以粘贴等于可以复制
|
 |
34
amirobotics 2021-06-22 10:37:04 +08:00 2
登入凭证=cookie
你打开自己电脑游览器,不需要登入,就能打开自己的 fb,ig 等等。这是因为有登入凭证。 这些登入凭证是可以窃取的。并且有些人被窃取了登入凭证都不知道。 更夸张的是,很大部分的登入凭证都不会过期。 能窃取你登入凭证的同时,也都会窃取游览器的密码,游览记录。 登入凭证大约 2kb 。 储存于游览器的密码大约 50kb 近期游览记录大约 100kb 。 这些文件在不需要 1 秒的时间里就会被传出去。 什么情况在被窃取的呢? 1. 太爱用破解软件。比如 kms 激活工具, adobe 破解等等。 2. 点击来历不明的 email 。 3. 游览奇怪的网页,比如黄色网站。 4. 打开来历不明的图片,虽然是图片,但是是个 spyware 。 怎么防? 1. 打开两步验证。可以的话,用 security keys,别用 TOTP 。 2. 时常更换密码。 3. 清楚游览器的 cookie,data 等等。 |
 |
36
shadowfish0 2021-06-22 10:41:47 +08:00
@shakoon KeePass 那个自动填充是啥原理,就是按快捷键自动打出密码的,这个能否一战
|
 |
37
codehz 2021-06-22 10:49:13 +08:00 via Android
@xieqiqiang00 不行,你网页整一个 input type=password 就是只能粘贴没法复制的
|
 |
38
ivanor 2021-06-22 11:44:29 +08:00
@dingwen07 #16
对于高级保护计划,补充一点,根据木桶原理,添加完密钥之后,需要删除掉“不太强”的两步验证渠道(例如短信、auth app)。 |
 |
40
MengiNo 2021-06-22 11:59:45 +08:00
@amirobotics 所以说 1pass 这种密码管理软件能自动填充登录应该来说是一件很好的事情,我就习惯每次都登录。然而某些国产 app 、页面总是要禁掉这块。
|
 |
41
wdy3334 2021-06-22 12:00:30 +08:00 via iPhone
@edinina 什么时候用到什么时候改,我这边泄露的都是不重要的,而且还是几年前的常用密码,没必要专门去改了
|
|
42
ivanor 2021-06-22 12:01:21 +08:00
|
 |
43
Josephv 2021-06-22 12:03:25 +08:00
如果你是随机生成的密码,那 100 位和 30 位安全性上没太大区别:在有预期的未来都没办法暴力破解;而如果是被窃取的也都一样可以被盗用。
|
|
45
MengiNo 2021-06-22 12:16:01 +08:00
@lakehylia 就有密码能登录,有两步验证器,有邮箱,甚至都改不了一个手机,国内的环境已经恶臭成这样我最近也是大开眼界。
|
 |
46
exploreexe 2021-06-22 12:19:33 +08:00
看了下 原来是裸奔啊,裸奔被盗不活该么。
之前看过不少人在论坛里说,裸奔,说自己没啥重要资料,银行卡里没钱这样的言论,就觉的挺傻的。 还有人对 360 嗤之以鼻的,哎,个个都是大神。 |
|
47
Rache1 2021-06-22 12:37:22 +08:00
@felixlong 但是当别人知道你的传递方式后,就可以只拼接 32 位的 hash 来进行了,不用在去考虑复杂的英文数字和符号的组合的,虽然这样也是有很大的成本,但是相较于英文数字加符号的组合,安全度就下降很多了
|
 |
48
dzdh 2021-06-22 12:48:12 +08:00
sodium
yubikey |
|
49
kebamt OP @aoeui 是的,因为之前没遭过攻击啥的,还有感觉时刻运行额外的杀毒软件拖慢电脑速度就给关掉了的,系统自带的也关了的。
|
 |
50
Pastsong 2021-06-22 13:05:10 +08:00
想问下你密码管理器的密码的多少位的
|
|
51
kebamt OP @amirobotics 我好像就是去下载 Bandizip 破解版感染上的病毒。为了确认我开卡巴斯基的情况下访问了哪个网站,别说下载到电脑在网页端就识别出来拦截下载了
|
 |
54
vcode 2021-06-22 15:36:30 +08:00
笑了
|
 |
55
godall 2021-06-22 17:06:01 +08:00
双因子认证没办法了,比 10240 位密码强多了。
|
 |
56
Zien 2021-06-22 17:16:22 +08:00 via iPhone
two-step 开启还会被盗?
|
 |
57
br2049 2021-06-22 17:30:27 +08:00
Discord+Nitro+Generator
说句难听的 有脑子的会下这个? |
 |
59
gam2046 2021-06-22 19:48:04 +08:00
@faqqcn #25 这其实是好的,本质上对敏感信息脱敏了,服务商不会拿着你的密码去其他地方撞库。以目前的计算机能力来看,32 位已经足够对抗暴力破解了。
有些朋友说 cookie = 密码,多数情况下,这是对的,不过这任然取决于服务提供商的策略以及他们认为应该提供多大的安全校验。 比如国内的很多银行 cookie 与登入的 IP 是绑定的,变更 IP 后,原先的登录状态会失效。 |
|
60
xieqiqiang00 2021-06-22 20:23:12 +08:00
@codehz 你没听明白.... 你不复制你怎么粘贴?
|
 |
61
israinbow 2021-06-22 21:34:25 +08:00
字符注入式密码和邮箱
|
 |
62
zhaidoudou123 2021-06-23 00:21:19 +08:00 1
你们裸奔是把 windows defender 也关了的?
我用 wd 扫描一下马上报毒 |
 |
63
tomari 2021-06-23 01:10:30 +08:00 via iPhone
一个二步验证就够啦
|
 |
64
js8510 2021-06-23 03:52:21 +08:00
马其顿防线。
|
 |
65
getadoggie 2021-06-23 07:09:12 +08:00 via iPhone
@kebamt 裸奔还敢下载运行来历不明的程序,我装杀软都不敢
|
 |
66
BloodBlade 2021-06-23 09:37:58 +08:00 via iPhone
@shadowfish0 keepass 我记得默认是模拟键盘输入来着,应该不会被禁止复制粘贴的影响。
|
 |
68
jjxtrotter 2021-06-23 13:01:50 +08:00 via iPhone 1
@ivanor 开了高级保护计划只能用硬件密钥登陆
|
 |
70
way2create 2021-06-23 17:57:03 +08:00
自从我 windows 下的 enpass 莫名其妙突然打不开我就没设置过这么长的密码
|
Select Language