维基百科:账户安全
本页简而言之:请为了您自己和社群着想,注意您帐号的安全。 |
帐户安全由很多方面构成,其中主要包括帐号密码和其他关联装置的安全。失窃的账号会在没有警告的情况下被禁封,而且一般不会被解封,除非有证据表明该账号已回到了失主的手中。
密码
所有注册用户都需要密码才能登录,密码能防止其他人冒充您。注册用户可以在参数设置页更改密码。编者都应该使用强密码。如果不这样做的话,那些猜测或破解了您密码的家伙就能用您的账号为所欲为,从而伤害您的权利和破坏社群。2016年11月,维基百科创始人的帐号被盗,盗号者操控帐号破坏英文维基百科首页,并解除首页保护,对英文维基百科造成极大影响。
强密码仅是账号安全的不充分必要条件。在多处使用同一密码是账号被盗的主因:有心人获知其一,便能入侵您的所有账号。使用公共电脑时,要当心键盘记录。
同时,尽量不要将您的个人电脑给他人使用。
最后,请尽快确认您的电子邮箱地址。确认电子邮箱不止可以收到条目的编辑通知这个好处,还可在大部分情况下帮助您恢复密码。如果您在参数设置页设置了电邮地址,就可以在忘记密码或被盗号时重置密码,前提是要确保邮箱安全。
安全密码设置
根据经验法则,日常用的密码要够长,用大小写字母和数字的组合,而且不包括字典单词、姓名和个人资料(如出生日期等)。纯小写字母组成的密码也行,但需要加长才能称作安全。当然,使用多强的密码取决于用户对本账号的重视程度。
避免使用常见密码如“123456”、“password”此类。更详细的清单参见维基百科:常见密码/10000。
维基百科在伺服器端散列用户密码,且已强制开启HTTPS端对端加密,故无需过于担心伺服器和传输过程中的泄密问题。
高权限人员
在维基百科,只有特定账号能执行一些特权操作,强烈建议这些用户使用独立且复杂的强密码。管理员、行政员、用户查核员、监督员、模板编辑员,一旦账号有失,危害甚巨。基于安全考量,失窃的特权账号可能会被永久撤销权限。在有充分证据表明失窃的账号已物归原主时,经行政员裁量可恢复权限。
维基媒体系统管理员偶尔会尝试破解特权用户的密码,并禁用那些易破解的弱密码。
目前,管理员、界面管理员、行政员、用户查核员、监督者、模板编辑员、跨维基导入者可开启两步认证,这样只有同时输入正确密码和验证码才能登录。详情见元维基相关介绍。如果普通用户也想用两步认证,请到m:SRGP申请“Two-factor authentication testers”权限。
证明身份
以下措施可有助于在账户失窃后重新夺回控制权:
- 给账户设置邮箱,并确保邮箱安全,这样即使账号密码遭篡改也能夺回账户。
- 使用{{User committed identity}}。原理大致如下:随便想一些只有本人知道的文字,用SHA-512等方法散列。因为通常情况下其他人无法通过散列结果推测原文,所以只要在需要情况下公开散列前的内容,其他人即可用同样方法散列,从而判断是否为本人。另外这种证明只有效一次,公开原文后要立刻更换新密文。
- 使用PGP或GPG,公开自己的公钥,这样只要在需要时签名(注意应附带时间戳)即可证明是本人。
- 与维基外账号关联:例如在站内指出某个Twitter账号是自己,只要保证Twitter账号不失窃,大家同样可以相信你已夺回账号。