亡羊补牢 - 论坛帐号密码安全浅谈

hudizhoutube

zxpcgl 发表于 2013-12-2 19:37
最近很多论坛都在被攻击啊。

其实还有一个扫号器原理的东西, 但是网上仅有的资讯是关于 ChinaNet 扫号器的,

我无法提炼准确的知识做一个高度总结, 其实它们也可以归为一种网络攻击形式.

hudizhoutube

lqzhgood 发表于 2013-12-2 15:41
一直对来源不明以及国产软件采取虚拟机安装 再复制文件夹的伪绿色软件模式
过滤捆绑流氓软件及检测病毒
不 ...

现在的大形势其实不必去采取虚拟机安装再提纯了, 象早些年时候 "不闻不问"

就强制安装捆绑插件的事情已经很难见到了, 基本都是默认勾选但你可选是否安装插件的形式.


如果你做不到每个 ID 都不同, 但密码不同也可以, 那里面也介绍了一个把密码存在 7z 里面的形式.


你要是喜欢绿色软件有两个去处, 一个是 http://www.52pojie.cn/ 的精品软件区,

一个是 http://portableappz.blogspot.com ( 国外软件为主, 网站在 "篱笆墙" 外 )

hudizhoutube

jacksen 发表于 2013-12-2 16:28
不怕被盗号  我更想知道有啥方法能屏蔽掉验证码。。。每次都是点自动登录 有的时候还需要打验证码  - -太麻 ...

最简单的方法, 让浏览器保存历史记录, Cookies, 然后输入帐号后勾选下面的 "自动登录", 并且让浏览器保存密码,

在没有第三方优化清理软件彻底扫描清除历史记录之前, 在那台机器上输入 CHH 网站你的帐号就是自动登录状态了,

既省掉了输入帐号密码和安全提问的过程, 也同时省掉了输入验证码的步骤.

jacksen

hudizhoutube 发表于 2013-12-3 02:00
最简单的方法, 让浏览器保存历史记录, Cookies, 然后输入帐号后勾选下面的 "自动登录", 并且让浏览器保存 ...

不知道是不是主板的原因  经常已经记录的密码但是有的时候就上不去   有的时候验证码明明是对的胆识输入好几次却都无效  新浪微博最为明显  打了好几次验证码都写对了还说验证码无效  没有第三方软件清理  一直都是保存状态 难道是和last pass有冲突？

hudizhoutube

jacksen 发表于 2013-12-3 09:55
不知道是不是主板的原因  经常已经记录的密码但是有的时候就上不去   有的时候验证码明明是对的胆识输入 ...

都在用 last pass ?


当然我不是非常了解这种软件的原理, 不过在破解软件的时候, 有时候需要一个"机器码",

他可能原自 Mac 地址, 或者电脑一些硬件和系统信息而生成.


那么如果 last pass 是依赖这种 "机器码" 保障工作中的安全性, 而且不巧你的硬件经常有变动的话,

比如象是笔记本 禁用与开启无线网卡的这种间接于硬件的变动, 或许都会影响它的正常工作.

( 当时破解的时候, 只要禁用了网卡, 使用算号器得到的"机器码" 也会随之改变 )

当然这种情况只是我的推测.


之前水区也曝出过一种比较蛋疼的情况, 比如某浏览器输对验证码 按回车 就通过, 用鼠标点就提示错误的蛋疼情况.

jacksen

hudizhoutube 发表于 2013-12-3 10:04
都在用 last pass ?

- - 之前上CHH的时候也有过 但是忘了是鼠标还是回车了  输入好多次对的验证码 就是不给通过...

真夏の白雪

这贴写的不错

wx0168

灯下狐 发表于 2013-12-2 00:09
好！论坛帐号安全靠自己。

狸叔居然换了那么无情的头像………………

wx0168

先怒顶！
然后……你的QQ居然是英文版的………………

账号安全！人人有责~！！

cjpin

安全提问很重要

adazheng

好文，虽然有点长

yfs123yfs

这个劝告一定要听

liu881021

小版 有点专业 哈哈

ivylee204

jacksen 发表于 2013-12-3 09:55
不知道是不是主板的原因  经常已经记录的密码但是有的时候就上不去   有的时候验证码明明是对的胆识输入 ...

微博对lasspas支持不好，可以曲线救国，收藏新浪通行证地址，那个可以用lastpass登录，登录完点微博就OK了，十分方便

ivylee204

hudizhoutube 发表于 2013-12-3 10:04
都在用 last pass ?

lastpass和机器码没有关系哈，已经在多台电脑上登录使用过，没有差异的

关键要保证好登录lastpass的密码不能遗失或者被盗，不然所有帐号就被一锅端了。。。。。

那就囧啊囧

PS:被lastpass收购的xmark同步书签也很给力，终于可以把书签碎片化解决了

hudizhoutube

ivylee204 发表于 2013-12-5 09:55
lastpass和机器码没有关系哈，已经在多台电脑上登录使用过，没有差异的

关键要保证好登录lastpass的密码 ...

lastpass 我倒没亲自使用, 实际上我是个连浏览器收藏夹都不用的人, 真正的一个文本文档走天下的风范

jacksen

ivylee204 发表于 2013-12-5 09:51
微博对lasspas支持不好，可以曲线救国，收藏新浪通行证地址，那个可以用lastpass登录，登录完点微博就OK ...

- - 曲线救国....这个主意也不错 就是多点一下

keyhx

写得很好呢，这种帖子很有意义，必须支持！

除了知识，安全意识也很重要，感觉不对头就要立马就要想办法应对

我上网10多年了，小病毒遇到折腾过，不过至今没被盗过号...

hudizhoutube

keyhx 发表于 2013-12-5 13:52
写得很好呢，这种帖子很有意义，必须支持！

除了知识，安全意识也很重要，感觉不对头就要立马就要想办法应 ...

其实要不是与 SOLA.bat 那次不分昼夜的四日鏖战经历, 估计这帖子不会这么出彩.

现在遇到病毒, 要是感染性很强的, 很多时候可能不会去选择手杀了,

直接恢复系统, 反过头来对系统盘以外的分区进行全盘扫描, 象是 autorun.inf 原理的,

则对其他分区谨慎手动清除就完事了.

ivylee204

hudizhoutube 发表于 2013-12-5 22:54
其实要不是与 SOLA.bat 那次不分昼夜的四日鏖战经历, 估计这帖子不会这么出彩.

现在遇到病毒, 要是感染 ...

手动杀毒太精疲力竭，特别是开始疏忽，又要推倒重来的。。。

所以现在系统上基本上用true image备份，本地移动硬盘保留备份

有问题直接恢复系统，方便又快捷

lgboy18

学习啦~就是懒得记[迷茫]

s-ing

哎~~在我朝有啥安全和信息私密！！！！技术员随便一个命令调用还不是能看到的信息（能安全的，还不是靠职业道德和操守）。不要在做无谓的折腾了！

karazel

已设置~~

sasmike

我得赶快改密码了，PT80的被盗一年多了……

bobcle

被盗后，小号设置安全提问的路过，楼主辛苦了

peiqijiang

写的很好 很受用

lu1983

好多专业名词  学习了

阿西锅

相比较而言，楼主nb闪闪的成长之路更吸引俺

hudizhoutube

阿西锅 发表于 2013-12-30 20:39
相比较而言，楼主nb闪闪的成长之路更吸引俺

[歌唱] 其实随便哪只大恶魔的成长索引搬出来都一样 - 内容很丰富.

amosly

[歌唱]这个帖留名了吗  我都忘了！偶然看见这个帖子了  进来留名不对啊，怎么是ACG板块的？