再次提醒关于加强密码强度和安全提问的通知（必读）

小兵吉他

近日频繁出现盗取密码，并且到二手论坛进行诈骗事件！
请广大会员加强密码强度增加安全提问，交易慎重！天上不会掉馅饼！

所以在此特别强调 ：  
一、版主（包括荣誉会员、嘉宾、乐手）必须加强密码强度和安全提问！！！
1、版主密码强度必须足够给力；
2、必须增加安全提问！
3、管理人员立即停止使用保存密码自动登陆功能，暂时清空COOKIE

身为版主，一是荣耀，更是责任，请务必严格执行！


二、普通会员也务必 加强密码强度和安全提问！
珍惜自己的ID，不给骗子机会！

再次强调：
1、任何交易慎重先款！！  天上不会掉馅饼  这是真理！

2、建议 支付宝或者 走中介！  别因小失大！

最后祝广大会员在此开心交易，快乐弹琴！！

63445088

我的密码好长的，是*********

jinshuanglubass

改密码去了……………………………………

johoo1

顶起。。。。。。。。。。。。。。

toxicmind

不知道前几天某版主便宜卖一个SG琴的事，是不是和这个有关，，，

巅峰音频

顶，安全第一。。。。。。。。。。。。。

HOMIE

toxicmind 发表于 2014-7-29 12:47
不知道前几天某版主便宜卖一个SG琴的事，是不是和这个有关，，，

好像有这事，兵总讲一下案例撒

blf134

顶！

那时的天空

wyxer8

的确这样，我的号码就被盗了，然后出现了一个卖拾音器帖子

鲁西亚

种人

提高警惕！

zhushilei

顶顶

dimers

sstar

网络安全人人要注意！~~~

yangxiaohui0914

tiantangguer007

我刚在转让琴就出现这问题！是不是跟我过不去？？？？、哈哈哈哈

JiangYing

666撒旦之子

六弦dream

密码安全很重要                  

benjamin.y.wang

关于账号安全这件事情，说说我所知道的知识，给大家分享一下：

首先盗取帐号有哪几种常见方法呢？
第一，暴力破解。这是最落后的一种方法，但是在低密码安全性的时候是非常有效的。所谓的暴力破解，就是用穷举法去尝试所有的可能性，直到得出正确的密码为止。因为这种方法要进行海量的尝试才能成功，因此很少有人工的方式去进行，一般都是用计算机程序去进行尝试。一般来说，为了保证效率，暴力破解会优先尝试纯数字组合，其次才是字母组合，最后才是符号。因此应对暴力破解的方法就是密码尽可能复杂，不要低于8位密码，尽量使密码里包括数字、大小写字母和符号。密码每增加一位，密码的构成每多一种元素，都会让暴力破解时间有数量级的增长。严格来说暴力破解最先尝试的其实是字典，就是一些常见的简单密码组合，比如123456，888888，你的生日这种。所以如果你的密码简单到这种程度的话，被破解的概率非常的高。事实上，现代的多数系统登陆认证过程都已经包含了验证码，而计算机程序不太容易绕过验证码，因此暴力破解现在基本上已经很少有人用了。

第二，木马盗号，这个是非常有效的一种方式。一旦你的电脑被植入木马，理论上你的任何信息都可能被窃取，区别只是操控木马的人关心哪部分数据而已。木马盗号一般都是比较有组织的，只针对特定有经济价值的账号进行，比如网游账号、QQ账号等。实际上，由于国内软件产业没有道德底线的现状，很多广泛应用的软件，比如QQ、迅雷、360等等，都可以访问用户电脑里的所有数据。换句话说，这些软件本质上都在做木马做的事情，你电脑里的信息，我相信在这些软件商的服务器上都有了，只是目前他们还不敢用敏感的这部分数据做什么而已。木马本身防不胜防的，不随便安装来路不明的软件是一个好习惯，任何需要的软件都尽量从开发者官方网站下载。外面下载的破解版、汉化版什么的，都不能保证里面是干净的。但整体来说，除了这些大软件厂商的木马行为外，现在那些纯恶意的木马，已经比当年混乱的IE 6.0浏览器时代要少很多了。应对木马，复杂的密码基本没什么用，一个有效的方式就是动态密码验证，比如网银、一些网游都采用登陆时候输入动态密码的方法，这些动态密码无论是硬件密钥生成器生成的，还是手机短信获得的，都不太容易被木马获取。

第三种方法是随着互联网应用数量爆炸兴起的，重复密码法。这个是什么意思呢？我相信很多人都有在不同网站的账号是同样的名字，密码也往往一样。这个时候，假设我建立了一个随便什么网站，你在我这里注册之后，我有了你在我这个网站的用户名和密码，那么我就可以去用这个密码到其他网站尝试，如果你在其他网站的账号密码恰好也是这个的话，那么很遗憾，你的密码被我盗了。重复密码法在当前的互联网环境下的效果远远超出大家的预期。绝大多数人，包括我自己在内，或多或少都有一些网站的用户名密码是重复的，因为为每一个网站建立一个不同的密码实在是太麻烦了。这时候就要注意一下账号的重要性，不太重要的账号，用重复的密码，被盗后损失没那么大，很重要的账号，还是用独立的密码比较好。

第四种，就是大家在电影电视里经常看到的黑客行为。这个世界上有着数量庞大的黑客群体，他们可以黑进世界上大多数计算机系统，盗取资料或者进行破坏。一般来说，黑客行为不会对个人电脑去进行攻击，因为这根本不值得。但是，服务器对于黑客来说是很好的目标，因为一旦侵入成功，获取的就是数以万计乃至百万计的账号。这种事情发生在任何一个网站上，都是很丢脸的行为，因为这不仅仅是安全性被吊打，更重要的是等于向全天下承认，自己的网站是用明码在保存用户密码。一般来说，一个负责任的系统都不会直接保存用户的密码，而是把用户的密码进行转换后保存，常见的方法是SHA1或者MD5，因为这种转换是不可逆的，因此无法从服务器上保存的信息获得用户的密码，即使被黑，损失也没有那么巨大。但很可惜，现在有很多网站（尽管他们都不会承认），都是用明码保存用户密码。就连之前CSDN这种专业IT论坛都是这样，更不要说其他论坛了。其实技术上来说，保存加密的密码对任何一个网站来说都是简单至极的事情，但为什么很多人都不这么做，我想除了失误之外，还有更深层次的原因。什么原因呢？参考前面第三点。

=============================
那么分析了盗号的方式之后，看一下兵总给的应对措施：
增强密码强度：对暴力破解有效，对其他方式基本无效。而且GC升级到新版之后，登陆时要求输入验证码，那么基本上除非你的密码是123456这种，不然基本不会有人来暴力破解了。
安全提问：对一些低级的木马有一定效果，这个比起动态密码还差很多。
清空Cookie：对木马有效，因为很多木马都会访问Cookie去获得登陆Session，但是Cookie里面一般是没有密码的（除非网站设计者脑残），只是通过复制Cookie可以从另一个地方不输入密码就登陆。Cookie有时效性，因此一般盗取Cookie之后盗号者还会修改密码来保证控制账号。

至于重复密码法，这个基本是无解的，除非你真的无聊到把每个网站密码都设置成不一样，不然总是或多或少有风险。而黑客攻击，这个也不是我们单个用户能做什么去防范的。


======================
一般来说，除了大规模的黑客侵入服务器盗号行为，账号被盗更多的责任在个人，而非网站。然而，作为网站本身，我认为有一些事情是GC可以针对性去做的：

第一，记录可疑的密码尝试行为。比如密码连续输错5次以上，GC应当通知该用户这个事实，以及尝试密码来自的IP地址。让用户知道有连续输错密码这件事情，如果不是本人做的，那么应该多加小心，比如修改密码什么的。
第二，如果确认一个账号被盗，是否可以暂时封禁该账号最近登陆的IP地址，如果盗号者不更换IP的话，至少暂时无法对更多用户账号造成威胁。这个虽然无法封禁盗号者，但至少可以降低盗号者的效率。
第三，建立可疑IP名单，对于经常出现密码连续输错，发布广告、诈骗信息的IP地址，甚至是超出正常数量用户登陆来自的IP地址，如果不是个人用户上网的动态IP地址，都可以进行封禁，至少是预警。

================
最后要说的就是，二手区诈骗信息什么的，其实和盗号关系不大，任何人都可以在二手区诈骗，只不过被盗的号可能信誉看上去好一些而已。但是大家永远记住，交易这东西，信誉有一百万也还是等于零，一手交钱一手交货是基本准则，不仅仅是防骗，也可以减少很多交易纠纷。

MC胖子

积极响应号召··

十指弹

知道了。。。。。。。。。。。。。。。。。。警惕。

LittleWynne

呵呵。沙发的回复很有意思~~大部头的警戒很值得一看！我是刚要发帖子啊。。。跟我过不去吗5555

BEYOND齿轮

谢谢提醒