20170930 - 重要提示 - V2EX 在 2017 年 9 月 30 日正在遭遇一个密码碰撞攻击
Livid · 2017-09-30 16:41:15 +08:00 · 24557 次点击这是一个创建于 2609 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2017-09-30 17:26:50 +08:00
攻击者在过去两天的时间里动用了大约 600 台肉鸡。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
目前为止大概有 1500 位用户的密码被碰撞成功。我们已经将所有怀疑被碰撞成功的用户的密码设置为失效。
第 2 条附言 · 2017-09-30 18:33:10 +08:00
有一些话写在这里,对这位黑客同学说,也是对自己说:
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
刚刚在整理受影响用户列表的时候,看到了一些以前熟悉的 ID,包括你测试登录的那位曾经在某音乐网站工作过的用户 ID。七年时间过去了,大家的生活都发生了很多变化。这个世界也发生了很多很大的变化。
谢谢你这两天所做的事情,这件事情从客观上帮助我找到了很多考虑不周,执行也不到位的地方。而更重要的是,谢谢你提醒我,让我能够有这样的一个被触动的思考过程,去找回七年前重启这个网站时的初心。
134 条回复 • 2017-10-13 10:14:51 +08:00
 |
1
RHFS 2017-09-30 16:42:12 +08:00 via iPhone
所有用户还是个别用户
|
 |
2
aheadlead 2017-09-30 16:42:12 +08:00
超长随机密码路过…
|
 |
3
chucongqing 2017-09-30 16:42:31 +08:00  3
忘记密码的路过
|
 |
4
zuolan 2017-09-30 16:43:06 +08:00
没有设置密码的路过。
|
 |
5
x86 2017-09-30 16:43:12 +08:00
应该是个别用户
|
 |
6
ghui 2017-09-30 16:43:24 +08:00 1
开一下两步验证吧
|
 |
7
cevincheung 2017-09-30 16:45:19 +08:00 1
两步验证的路过
|
 |
8
zjqzxc 2017-09-30 16:51:48 +08:00
虽然是随机字符串密码,但还是改了,并顺带把二次验证开了
|
 |
9
maxjove 2017-09-30 16:53:35 +08:00 via Android
这都不放过,这些人真无聊
|
 |
10
wuzhizhemu569 2017-09-30 16:53:50 +08:00
马上改
|
 |
11
LosLord 2017-09-30 16:54:53 +08:00 via Android 15
还以为明天要实名制了
|
 |
12
akwIX 2017-09-30 16:58:53 +08:00
随意了,账号无价值
|
 |
13
fakeagent 2017-09-30 16:59:13 +08:00
马上实名制了,盗号有啥用?
|
 |
14
ZenFX 2017-09-30 16:59:25 +08:00
超长随机密码+两步验证的路过
|
 |
15
softgoto 2017-09-30 17:00:05 +08:00
改了随机字符串,随便开了两步验证
|
 |
16
mohoumk2 2017-09-30 17:01:52 +08:00 via Android
超长随机字符串的路过
|
 |
17
Rice 2017-09-30 17:04:04 +08:00
超弱数字密码路过
|
 |
18
nijux 2017-09-30 17:05:01 +08:00
随机密码路过
|
 |
19
yylzcom 2017-09-30 17:08:54 +08:00 10
吓得我赶紧把密码改成了 1234567890qwer
应该够长了 |
 |
20
saran 2017-09-30 17:11:38 +08:00
反正大号都关小黑屋了,无所谓啦~
|
 |
21
Tyler1989 2017-09-30 17:11:42 +08:00 via Android
已改密码
|
 |
22
stebest 2017-09-30 17:14:00 +08:00 via Android
还以为要实名制了
|
 |
23
kdwycz 2017-09-30 17:18:21 +08:00
keepass 随机密码无所畏惧
|
 |
25
patx 2017-09-30 17:26:45 +08:00
随机账号加上随机密码
|
 |
26
timothyye 2017-09-30 17:33:03 +08:00 via Android 1
600 台肉鸡,这成本有点高啊
|
|
27
timothyye 2017-09-30 17:33:50 +08:00 via Android
估计这兄弟是铜币花完了吧,等不到明天了……
|
 |
28
moonsn 2017-09-30 17:35:08 +08:00
不记得我设置过密码。。
|
 |
29
jpyl0423 2017-09-30 17:35:42 +08:00
已改, 才发现密码和 163 邮箱同一个
 |
 |
31
weyou 2017-09-30 17:36:21 +08:00 via Android
我的应该碰撞成功了,这个密码很多年未改,并且和当年天涯,csdn 密码一致,但我不想改,v 站账号也就能看个帖子留个言嘛
|
 |
32
loserwn 2017-09-30 17:38:26 +08:00
我小白一下,他要这些用户账户干嘛用?
|
 |
33
Livid MOD OP @moonsn1994 使用 Google OAuth 登录的账号是一个随机密码,确实不需要设置。
|
 |
34
learnshare 2017-09-30 17:41:06 +08:00
@loserwn 进一步攻击,比如填充垃圾信息之类的
|
 |
35
imn1 2017-09-30 17:42:06 +08:00
|
 |
36
1O 2017-09-30 17:42:40 +08:00 via iPhone
我还以为 V2 也受大环境影响了
|
 |
37
Trim21 2017-09-30 17:46:13 +08:00
吓得我开了 2fa
|
 |
38
suffiboho6782 2017-09-30 17:47:08 +08:00
随机帐号 随机密码 十分钟邮箱 过段时间重新注册 帐号没什么价值呀
|
 |
39
psirnull 2017-09-30 17:52:37 +08:00 via iPhone
两步验证路过
|
 |
40
EchoChan 2017-09-30 17:56:23 +08:00
这时候密码生成管理器的作用就体现了。
不怕,反正这网站密码独一无二。 |
|
41
psirnull 2017-09-30 17:58:58 +08:00 via iPhone 2
是要来 V 站发动水军,控制雨伦导向吗……
|
 |
42
yedashuai 2017-09-30 18:02:20 +08:00
虽然是用 qq 邮箱注册的,但是,我用的是注册论坛专用密码~~毕竟那么多的论坛和第三方网站,谁知道哪个网站哪天会被脱裤呢~~~
|
 |
43
IamJ 2017-09-30 18:06:42 +08:00 via Android
1password 生成的 32 位密码
|
 |
45
trys1 2017-09-30 18:10:55 +08:00 via Android
问一下大家,碰撞和穷举一样吗?
|
 |
46
cppgohan 2017-09-30 18:12:38 +08:00
最近又有新裤子被脱了吗?
|
 |
47
0915240 2017-09-30 18:13:12 +08:00 via iPhone
回去开两步
|
 |
48
fishingcat 2017-09-30 18:15:04 +08:00
1password 好还是 lastpass 好?我就是来跑题的。
|
 |
49
TimePPT 2017-09-30 18:15:49 +08:00
@trys1 撞库一般是拿市面上流出拖库账户密码对去试,这个假设是很多用户都是一个账户密码走天下不做账户隔离。
穷举就是……穷举,就是纯试,但一般会用常见若口令优先去试 |
 |
53
frittle 2017-09-30 18:24:10 +08:00
已改。
|
 |
54
21grams 2017-09-30 18:24:47 +08:00
如何知道自己是不是被碰撞成功了?
|
 |
55
mfu 2017-09-30 18:25:20 +08:00
撞库啊。1password 随便生成的 V 站专用密码,还不是太担心撞库。
|
 |
56
Chalice 2017-09-30 18:27:46 +08:00
这么一提醒我才发现自己的密码弱爆了,赶紧改了个随机密码。
|
 |
57
rapperx2 2017-09-30 18:30:41 +08:00 1
我的密码是 select*fromUser 哈哈
|
 |
58
dong3580 2017-09-30 18:33:53 +08:00 via Android
@livid
还需要把被撞成功的 Cookies 也清掉吧?我记得 v2. Cookies 那个有效期是一个月 |
 |
59
shinwood 2017-09-30 18:34:49 +08:00
已修改密码。
|
 |
60
vardarling 2017-09-30 18:39:37 +08:00
超弱密码路过
|
 |
61
18279731314 2017-09-30 18:53:48 +08:00 via iPhone
麻烦帮我的盗掉吧
|
 |
62
liuminghao233 2017-09-30 18:55:26 +08:00 via iPhone
开了这么多肉鸡啥都没赚 血亏啊
|
 |
63
iluhcm 2017-09-30 18:58:14 +08:00
1p 生成随机密码,连我自己都不知道密码是什么-,-
|
 |
64
torbrowserbridge 2017-09-30 19:07:37 +08:00
我用 google 登录,密码是啥我自己都忘记了
|
 |
65
shuson 2017-09-30 19:16:01 +08:00
1p 生成随机密码,连我自己都不知道密码是什么-,- +1
|
 |
66
hdbean 2017-09-30 19:18:27 +08:00
站长最后的 append 是不是有什么故事?
|
 |
67
finalspeed 2017-09-30 19:36:50 +08:00 via Android
我也以为要实名制了
|
 |
68
xtaxcy 2017-09-30 19:37:11 +08:00 via Android
忘记密码的路过。。。
|
 |
69
leloext 2017-09-30 19:42:40 +08:00
1password 换一个就好了,话说登录这里的密码是啥都不知道 -_-
|
 |
71
scnace 2017-09-30 19:55:51 +08:00 via Android
我自己都不知道我的密码是啥 XD
|
 |
72
whitepdd 2017-09-30 20:05:38 +08:00
这么可怕吗。。
|
 |
73
lany 2017-09-30 20:11:37 +08:00
V 站密码我若成狗
|
 |
74
chairuosen 2017-09-30 20:11:39 +08:00
即使是简单密码,开了两步验证不用管吧?
|
 |
75
ruanmeibi 2017-09-30 20:11:42 +08:00
随机密码情绪稳定
|
 |
76
loading 2017-09-30 20:18:23 +08:00 via Android
已改
|
 |
77
kevin335200 2017-09-30 20:18:35 +08:00
可以推一波 1password 和 lastpass 了 233
不过 1password 没法在 linux 用好头疼啊 |
 |
78
senni 2017-09-30 20:20:37 +08:00
那么 他是为了什么
|
 |
79
vonsis 2017-09-30 20:25:25 +08:00
password generator 随机密码
|
 |
80
opengps 2017-09-30 20:28:38 +08:00
7 年前的 id 也别碰撞,这得是多老的黑客了
|
 |
81
hugee 2017-09-30 20:29:55 +08:00 via Android
尝试几次错误就 ban ip 吧。
|
|
82
yylzcom 2017-09-30 20:31:25 +08:00
@kevin335200 #77 Linux 下用 Keepass 啊,23333
|
 |
83
coolcoffee 2017-09-30 20:39:06 +08:00
1Password 用户表示不慌
|
 |
85
xxhjkl 2017-09-30 21:08:35 +08:00
吓得我赶紧改了个密码
|
 |
86
kewinbolt 2017-09-30 21:17:21 +08:00 via iPhone
lastpass 的随机密码 连我自己都不知道是啥 随便撞去吧 况且连用户名都独一无二
|
 |
87
mozutaba 2017-09-30 21:18:40 +08:00
这里密码有什么用?都是公开的
|
 |
88
goodryb 2017-09-30 21:21:13 +08:00
所以修改密码和开启两步验证在哪里操作?
|
 |
89
jayzjj000 2017-09-30 21:26:54 +08:00
竟然已经 7 年了
|
 |
90
hagha 2017-09-30 22:05:33 +08:00 via Android
密码自己已经记不得了
|
 |
91
mingyun 2017-09-30 22:11:53 +08:00
我上周刚改密码
|
 |
92
gzadamlv 2017-09-30 22:31:19 +08:00 via Android
必须要密码,Google 自动登录
|
 |
93
wanhuiming 2017-09-30 22:32:50 +08:00
仔细一看,我这号价值不大。
|
 |
94
Nathanzheng 2017-09-30 22:57:41 +08:00
怎么知道自己的密码泄露了没
|
 |
95
LCD 2017-09-30 23:02:04 +08:00 via Android
改了怕不熟忘记
|
 |
96
vtoexshan 2017-09-30 23:10:55 +08:00
又加长了 6 位,能顶用吗?
|
 |
97
a719031256 2017-09-30 23:11:36 +08:00
话说就不能实现双账号更替登陆么?
就是用户名和密码被破解了后就关闭用户名登陆这项功能,改用邮箱或发送给邮箱一个临时乱码用户名登陆 |
 |
98
geew 2017-09-30 23:11:58 +08:00
不知道破解 v2 的密码有啥用....闲得无聊么
|
 |
100
woshinide300yuan 2017-09-30 23:26:47 +08:00
感觉 V2 最不应该的是搜索引擎可以抓主题和回复。应该给设置选项关闭这个功能。 @Livid
|
Select Language