囧，我的V2ex ID被修改密码...

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 4332 天前的主题，其中的信息可能已经有所发展或是发生改变。

好丢脸...虽然我的密码很白痴,但竟然有人盯上我...
确定没记错，因为是1password管理密码的。
什么情况？

密码

V2EX

39 条回复 • 1970-01-01 08:00:00 +08:00

kindlepaper

2013-01-11 15:50:49 +08:00

相同情况，而且同学的也是
所以我刚刚新注册了一个

linsk

2013-01-11 16:06:01 +08:00

@kindlepaper 什么情况这是... 为什么不「忘记密码」取回？

kindlepaper

2013-01-11 16:24:02 +08:00

@linsk 因为我邮箱当时填了以后就随便改了
怕垃圾邮件

cutehalo

2013-01-11 16:24:38 +08:00

嘘....我也是的我以为是我的密码太简单了
不过啥也木有发生然后我重新改了密码

kindlepaper

2013-01-11 16:25:12 +08:00

@livid

shizhuan

2013-01-11 16:31:02 +08:00

我的也被修改了

shizhuan

2013-01-11 16:31:29 +08:00

刚刚通过邮箱找回密码~请 @livid 关注

insub

2013-01-11 17:39:20 +08:00

我是前天晚上发生的，也是用的弱密码
应该是那个王八蛋用了暴力破解在扫我们的帐号
请 @livid 关注

ahu

2013-01-11 17:41:35 +08:00

楼主94号，看来今夜会扫到我这来

insub

2013-01-11 17:41:47 +08:00

会不会再google一下我们的帐号，然后用破出来的密码，看那个网站有利可图就.......

linsk

2013-01-11 18:06:24 +08:00

@ahu 是啊。很遗憾不是64号啊...

@insub 我也是2天前发生的，大概。

竟然是全站的事。

Livid

MOD

2013-01-11 18:22:55 +08:00

我正在看日志。

quora

2013-01-11 18:26:47 +08:00

...先把弱密码改掉了.

Livid

MOD

2013-01-11 18:29:03 +08:00

请大家人肉一下这两个 IP 地址：

222.125.162.152
116.24.10.71

tokki

2013-01-11 18:37:07 +08:00

这里用户名都是暴露的，我写个脚本把v2ex扫一遍把@ 的页面名字拔下来然后弱口令跑基本一大批帐号会挂。。。好像现在直接通过id就能得到用户名了

我的建议是邮箱登陆这个问题就解决咯邮箱都是没暴露出来的

或者登陆加个验证码加个多次错误登陆封ip什么的

好吧真有人闲着没事干了小学生吧

flied

2013-01-11 18:40:41 +08:00

好吧，我先去把密码改了。

Livid

MOD

2013-01-11 18:40:59 +08:00

@tokki 多谢建议。

我正在改登录接口。

Livid

MOD

2013-01-11 18:45:37 +08:00

@kindlepaper V2EX 过去，从来，未来绝对不会发送任何垃圾邮件。发垃圾邮件推广网站提高 KPI 的都是傻逼。

你可以发邮件到 livid at v2ex.com 告诉我你之前的账号及一个可以收到信的邮箱，然后帮你把邮箱改掉之后，你就可以通过邮箱找回密码。

Livid

MOD

2013-01-11 18:46:44 +08:00

如果你还在用任何 CSDN 事件之前的密码，请一定改掉。

insub

2013-01-11 18:48:32 +08:00

@tokki @livid
还有一种方案是，更改邮箱时需要在原邮箱接收邮件，这样可以确保能找回密码，否则要是密码和邮箱都被改掉，就很麻烦了
登录加个次数校验也是有必要的

xatest

2013-01-11 18:55:20 +08:00 via iPhone

同样故意用的弱密码被扫了，马上改了密码。不知道拿这个帐号来有什么用。

Livid

MOD

2013-01-11 18:58:27 +08:00

我比较好奇各位所说的弱密码究竟有多弱？

Livid

MOD

2013-01-11 19:03:21 +08:00

已经在 /signin 部署了一些新措施。

Livid

MOD

2013-01-11 19:08:12 +08:00

扫描的 IP 地址已经被 block。

自动 block 机制我现在正在本地开发测试中。PST 时间 11 号天亮之前上线。

linsk

2013-01-11 19:26:54 +08:00

@Livid 赞。

Livid

MOD

2013-01-11 20:02:25 +08:00

/signin 的 rate limit 已经部署。接下来会在其他敏感页面上也部署同样的机制。

yanhopeless

2013-01-11 20:05:58 +08:00

我还以为就我的被改了呢，汗。。。

Livid

MOD

2013-01-11 20:17:09 +08:00

针对敏感页面的 rate limit 已经部署。不会影响正常使用，但是可以彻底避免类似事件的再次发生。

aisk

2013-01-11 20:20:48 +08:00

@Livid 123456一扫一大片

aisk

2013-01-11 20:22:44 +08:00

@Livid 如果数据库密码只用固定salt的话，group by一下，根据分布情况都可以看出密码是什么来

sethverlo

2013-01-11 20:24:12 +08:00

@Livid 个人感觉密码六位及以下纯数字或者纯字母这样的都算弱口令……还有您提到「V2EX 过去，从来，未来绝对不会发送任何垃圾邮件」，这句话没错，印象中好像从来没收到过 v2ex 的邮件，感觉如果有像「知乎每周精选」这样的东西的话也是很不错的…

pingwest

2013-01-11 20:38:33 +08:00

我的密码也被改了，郁闷

kokdemo

2013-01-11 20:57:01 +08:00

我的好像没有……

liliang13

2013-01-11 21:40:32 +08:00

国内国外两套不同的邮箱和密码，v2属于国外的。。。。

ksky

2013-01-11 22:39:50 +08:00

升级了一级密码。。。偷懒都不行。。。唉。

kissfire

2013-01-11 22:43:26 +08:00

我以为我忘了原来是密码被改了 -_-!

shao

2013-01-11 22:54:59 +08:00

防止万一，修改了v2ex密码，14位的随机英文数字组合。1password生成的。

zzz

2013-01-12 08:57:05 +08:00

密码，邮件均被改了。估计很快会有僵尸发小广告的出现了。

Livid

MOD

2013-01-12 09:28:10 +08:00 via iPhone

@zzz http://www.v2ex.com/t/57323