維基百科:賬戶安全

帳戶安全由很多方面構成,其中主要包括帳號密碼和其他關聯設備的安全。失竊的賬號會在沒有警告的情況下被禁封,而且一般不會被解封,除非有證據表明該賬號已回到了失主的手中。

密碼

所有註冊用戶都需要密碼才能登錄,密碼能防止其他人冒充您。註冊用戶可以在參數設置頁更改密碼。編者都應該使用強密碼。如果不這樣做的話,那些猜測或破解了您密碼的傢伙就能用您的賬號為所欲為,從而傷害您的權利和破壞社群。2016年11月,維基百科創始人的帳號被盜,盜號者操控帳號破壞英文維基百科首頁,並解除首頁保護,對英文維基百科造成極大影響。

 
維基百科創始人被盜號後對英文維基百科首頁的破壞記錄

強密碼僅是賬號安全的不充分必要條件。在多處使用同一密碼是賬號被盜的主因:有心人獲知其一,便能入侵您的所有賬號。使用公共電腦時,要當心鍵盤記錄

同時,儘量不要將您的個人電腦給他人使用。

最後,請儘快確認您的電子郵箱地址。確認電子郵箱不止可以收到條目的編輯通知這個好處,還可在大部分情況下幫助您恢復密碼。如果您在參數設置頁設置了電郵地址,就可以在忘記密碼或被盜號時重置密碼,前提是要確保郵箱安全。

安全密碼設置

根據經驗法則,日常用的密碼要夠長,用大小寫字母和數字的組合,而且不包括字典單詞、姓名和個人資料(如出生日期等)。純小寫字母組成的密碼也行,但需要加長才能稱作安全。當然,使用多強的密碼取決於用戶對本賬號的重視程度。

避免使用常見密碼如「123456」、「password」此類。更詳細的清單參見維基百科:常見密碼/10000

維基百科在服務器端散列用戶密碼,且已強制開啟HTTPS端對端加密,故無需過於擔心服務器和傳輸過程中的泄密問題。

高權限人員

在維基百科,只有特定帳號能執行一些特權操作,強烈建議這些用戶使用獨立複雜的強密碼。管理員行政員用戶查核員監督員模板編輯員,一旦賬號有失,危害甚巨。基於安全考量,失竊的特權賬號可能會被永久撤銷權限。在有充分證據表明失竊的賬號已物歸原主時,經行政員裁量可恢復權限。

維基媒體系統管理員偶爾會嘗試破解特權用戶的密碼,並禁用那些易破解的弱密碼。

目前,管理員、介面管理員、行政員、使用者查核員、監督者、模板編輯員、跨維基匯入者可開啟兩步認證,這樣只有同時輸入正確密碼和驗證碼才能登入。詳情見元維基相關介紹。如果普通用戶也想用兩步認證,請到m:SRGP申請「Two-factor authentication testers」權限。

證明身份

以下措施可有助於在賬戶失竊後重新奪回控制權:

  • 給賬戶設置郵箱,並確保郵箱安全,這樣即使賬號密碼遭篡改也能奪回賬戶。
  • 使用{{User committed identity}}。原理大致如下:隨便想一些只有本人知道的文字,用SHA-512等方法散列。因為通常情況下其他人無法通過散列結果推測原文,所以只要在需要情況下公開散列前的內容,其他人即可用同樣方法散列,從而判斷是否為本人。另外這種證明只有效一次,公開原文後要立刻更換新密文。
  • 使用PGPGPG,公開自己的公鑰,這樣只要在需要時簽名(注意應附帶時間戳)即可證明是本人。
  • 與維基外賬號關聯:例如在站內指出某個Twitter賬號是自己,只要保證Twitter賬號不失竊,大家同樣可以相信你已奪回賬號。

參見