论坛帐号被盗屡次发生，呼吁全民加强防盗意识和技术！ [复制链接]

今天一大清早，论坛垃圾帖子满天飞，总版主《雨中飞》急忙从被窝爬起来一个一个删除，数目多达300百多条。下图：

都昌在线为了从源头保障各位网友的帐号安全，我们已经做了强大的安全加固技术，如arp防欺骗，数据库主站与上传服务器分离，防火墙，ddos/ids/ips、以及web安全漏洞检测等。但是论坛帐号被盗后经过我们分析，原因都在网友客户端本身，最多莫过于两个主要原因：
1、弱口令，通过简直的枚举便可破解。
2、感染带有嗅探类型的病毒，嗅探协议流中的密文。

开篇呼吁：
论坛屡次发生会员账号被盗事件，并利用盗取的ID发布非法垃圾广告，对论坛形象造成很大影响，也给论坛管理团队带来了很大的工作了，同时也对被盗会员造成了很大损失。而此类论坛ID密码被盗事件皆是因为密码设置过于简单造成。都昌在线曾经也强制过用户一定的时间内必须修改成都昌在线指定的复杂密码，但是网友觉得很麻烦，我们就取消了强制修改。在此呼吁新老会员请勿将密码设置为简单密码，如果已经设置为简单密码，请立即修改！
上网几条紧记：
1、必须安装杀毒软件，严禁祼奔。
2、开启系统自动更新、打补丁。尤其是关健补丁。
3、不要乱上一些乱七八糟的网站。（尤其是男生）
4、不要随便打开QQ上别人发给你的链接（很多是伪链接）
5、下载程序的时候要擦亮眼睛，我是不是打开的官方网站（非官方网站的下载站你下载一个QQ程序90%都捆绑了木马），建议使用google，少用度娘。
6、不要轻易打开邮件收到的内容。


请以下网友与管理员联系admin@duchang.com.cn，你的ID号已被重置了密码，当然你也可以通过取回密码功能取回。
在飘泊,好好说,都昌文明人,fangyanming,wengguobin,天下无敌旋风腿,jihe,简单才是美11

最后感谢总版主《雨中飞》的辛苦劳动。

举例说明：
实例1：论坛版主——家**，密码被盗发布大量涉黄垃圾信息，并且由于删帖后积分被扣所剩无几。
             究其原因：原密码为“123456”。
实例2：论坛版主——tur**，密码被盗发布大量涉黄垃圾信息，由于管理员考虑其号被盗未扣分。
            究其原因：注册邮箱为turin-199068@****.com，而密码刚好是199068。
实例3：论坛会员主——wd658395，密码盗用发布大量垃圾信息。
           究其原因：密码设置是658395，与用户名中的数字部分相同。
示例4：论坛会员——77890923，密码被盗发布大量广告信息。
          究其原因：密码为77890923，与账号一样。
      另外由于部分会员的注册邮箱在别处被盗或者泄露，也可能导致个人信息外泄，所以请将注册邮箱修改为你最常用的邮箱，建议邮箱密码单独设置，不要与你使用改邮箱来注册的任何账号密码相同。
。。。。。。


最弱密码：
附：国内外网民常用的25个“弱密码”
　　国内网民常用的25个弱密码包括：000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314
　　国外网民常用的25个弱密码包括：password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football

以上密码千万不要使用！！！

附件1：您的密码安全吗？危险密码排行榜
      下面列出几种最危险的密码，请千万不要使用。
　　1) 密码和用户名相同。如：用户名和密码都是test00001。
　　*　几乎所有盗取 密码的人，都会以用户名作为破解密码的突破口。
　　2) 密码为用户名中的某几个邻近的数字或字母。如：用户名为test000001，密码为test或000001。
　　*　如果您的用户名是字母和数字组合，如：test000001，那么别人要盗取您的密码时，肯定会以用户名中的字母或数字来试密码。
　　3) 密码为连续或相同的数字。如123456789、1111111等。
　　*　几乎所有黑客软件，都会从连续或相同的数字开始试密码。如：先试111、1111……到9999999999，然后再试123、321、 234、1234……9876543210。如果您的密码是111111、123456或654321，甚至用不着黑客软件也能在片刻试出。
　　4) 密码为连续或相同的数字。如abcdefg、jjjjjjj等。
　　*　字母虽然比数字多，但是先试相同的字母如aaaaa，再试连续的字母如abcde，黑客软件所用的时间也不会太多。
　　5) 将用户名颠倒或加前后缀作为密码。如用户名为test，密码为test123、aaatest、tset等。
　　*　以用户名test为例，优秀的黑客软件在尝试使用test作为密码之后，还会试着使用诸如test123、test1、tset、tset123等作为密码，只要是你想得到的变换方法，黑客软件也会想得到，它破解这种口令，几乎也不需要时间。
　　6) 使用姓氏的拼音作为密码。
　　*　在不少黑客软件中，百家姓往往都被一一列出，并放在字典的前列。只需片刻即可破解您的密码。
　　*　以姓氏或姓名的拼音作为密码还存在一种危险：想盗您密码的人如果探听到您的真实姓名，就很有可能用您的姓名中的拼音组合来试密码。
　　7) 使用自己或亲友的生日作为密码。
　　*　由于表示月份的只有1～12可以使用，表示日期的也只有1-31可以使用，表示日期的肯定19xx或xx，因此表达方式只有 100×12×31×2=74400种，即使考虑到年月日共有六种排列顺序，一共也只有74400×6=446400种。按普通计算机每秒搜索3～4万种的速度计算，破解您的密码最多只需10秒。
　　*　如果想盗取您密码的人通过各种手段探听到了您的生日，那么您的密码就更没有安全性可言了。
　　8) 使用常用英文单词作为密码。
　　*　黑客软件一般都有一个包含10万～20万个英文单词及相应组合的字典库。如果您的密码在这个库中，那么即使字典库中有20万单词，再考虑到一些DES(数据加密算法)的加密运算，每秒搜索1800个，也只需要110秒。
　　9) 使用8位以下的数字作为密码。
　　*　数字只有10个，8位数字组成方式只有10的8次方=100,000,000种，按普通计算机每秒搜索3～4万种的速度计算，黑客软件只需要不到3小时就可以破解您的密码了。
　　10) 使用5位以下的小写字母加数字作为口令。
　　*　小写字母加数字一共36位，组合方式只有36的5次方=60466176种可能性，按普通的计算机每秒搜索3～4万种的速度计算，黑客软件只需要25分钟就可以破解您的密码。（本文来源：安全在线）



附件2：您的密码安全吗？怎样降低密码被盗几率
        如果您想降低您的密码被盗的几率，就务必做到：
　　1) 不使用危险密码排行榜中的密码，将密码设置为8位数以上的字母、数字和其他符号的组合。
　　2) 不要使用可轻易获得的关于您的信息作为密码。这包括执照号码、电话号码、社会安全号码、您的手机号码、您所居住的街道的名字，等等。
　　3) 经常更换您的密码，因为8位数以上的字母、数字和其他符号的组合也不是无懈可击的。
　　4) 不要把密码和证件号码告诉任何人。不要因为对方是您的网友或现实生活中的朋友而把密码告诉他/她。
　　*　在用户服务中心处理的ID挂失投诉中，有很多起就是网友或现实中的朋友甚至恋人之间发生矛盾引起的。
　　5) 申请密码保护。QQ电脑管家的财产保镖为用户提供的密码保护功能，可以保护用户的密码和个人资料不被不知道其证件号码的人修改或查询。
　　*　如果您没有申请密码保护，那么别人一旦破解您的密码，就可以把您的密码和注册资料全部修改，然后用他的证件号码来为您申请密码保护，导致您完全失去了证明您是这个ID的所有者的全部证据。
　　*　千万注意：密码保护不能保护您的密码不被人破解，您在申请密码保护后还需谨慎保管您的密码。
　　6) 不要在不同社区使用相同的用户名和密码。因为这样一旦某个社区的密码被盗，其他社区的密码也很容易被盗走。
　　7) 小心木马。您的计算机一旦中了木马，那么黑客盗取您密码和证件号码就如囊中取物，因为您的所有操作都在他/她的监视之下，他/她甚至可以删除您的所有文件、格式化你的硬盘。
　　请您务必做到以下防范措施：
　　a. 请将IE的"INTERNET选项"的"高级"设置为"恢复默认设置"。
　　b. 访问某网址时，如果IE弹出了安全提示，问您是否下载某些文件时，请选择"否"，千万不要点击"是"。
　　c. 打开email附件时，一定要认真查看"打开附件警告"中，该文件是否以.exe为结尾。如果是，请千万不要打开。
　　d. 打开计算机时，请按ctrl,alt,del三个键，看看是否有来历不明的程序正在运行，如果有，请在每次上网前将该程序结束任务。
　　*　关于防御木马的更多知识请您参看：木马防御攻略
　　8) 在网吧上网的时候需要注意：
　　a. 小心网吧的计算机上安装有记录键盘操作的软件，或被安装了木马。使用网吧计算机时，需先按ctrl,alt,del三个键，看看是否有来历不明的程序正在运行，如果有，则立即将该程序结束任务。
　　b. 登录大厅或网页时，千万不要选择"记住密码"。
　　c. 下机时，千万不要忘记删除IE的历史记录，并关闭所有的窗口。
　　9) 小心"网络骗子"。网络骗子的主要骗术有：
　　a. 利诱。用高分、高级别、会员资格，如：　"把你的密码告诉我吧，我可以帮你赢分";
　　"我这里有一张会员卡，你要是想要的话，把密码和证件号码告诉我，我可以帮你注册为会员"……
　　b. 威逼。假冒的工作人员威胁您，如：　"我是**网管，请马上出示你的密码和证件号码，否则我将踢你出局"。
　   c. 障眼法。假冒联众用户服务中心向您写信要求您提供密码和证件号码。
　　*　这种信的发件人虽然叫"**用户服务中心"，但是您只要点"回复"，用右键按"用户服务中心"，选"属性"，就会发现这个用户服务中心的信箱并非所说的服务邮件地址。
　　d. 美人计。千方百计接近您，骗取您的信任以后骗取您的密码。（本文来源：安全在线）



附件3：360发布《密码安全指南》
    外安全机构SplashData最近针对英语人群总结出2011年度最烂、最易被盗取的25个“弱密码”。11月22日，国内最大的网络安全厂商360安全中心也发布了《密码安全指南》，并根据国内流行的密码破解字典软件破解列表，整理结出中国网民最常用的25个“弱密码”。
　　据360安全专家介绍，中国网民常用的TOP25 “弱密码”中，有9个与国外网民使用习惯完全相同。其中，除password、abc123、iloveyou、qwerty等全球网民通用“弱密码”外，其余均为数字组合。而简单的数字组合，似乎更是中国网民最爱，占了榜单近半数。比如“666666”和“888888”这样的吉利数，几乎是所有中国黑客密码字典中的必备项，而“5201314”(我爱你一生一世)显然被国人寄予了浓厚的感情色彩，为中国特色“弱密码”。
　　据统计，网民常用的“弱密码”主要包括简单数字组合、顺序字符组合、临近字符组合以及特殊含义组合等四大类别。而从中国版“弱密码”榜单来看，国内网民更习惯设置6位字符密码，TOP25中竟有18个是6位字符，所占比例高达72%。此外，“a1b2c3”和“p@ssword”这类组合型密码看似复杂，其实也在黑客重点关注的密码列表中。
　　360安全专家警告称，如果系统帐号或其他网络帐号采用上述“弱密码”，很容易被黑客利用密码字典自动“蒙中”，从而造成个人隐私信息泄漏甚至财产损失。针对部分用户为系统设置简单“弱密码”的登录习惯，新版360安全卫士增加了“黑客入侵防护”功能，可以为用户检测近千个弱密码，并在系统遭受入侵攻击时提示用户修改高强度密码。
　　与此同时，360安全中心还针对中国网民密码使用习惯发布了《密码安全指南》，建议网民从以下四个方面保护帐号安全：
　　第一、尽量使用“字母+数字+特殊符号”形式的高强度密码;
　　第二、网银、网上支付、常用邮箱、聊天帐号单独设置密码，切忌“一套密码到处用”;
　　第三、按照帐号重要程度对密码进行分级管理，重要帐号定期更换密码;
　　第四、避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息。

要死，我一直在裸奔，不知是否有被盗过

我杀过毒

我密码好复杂的

我的密码是组合的，难破解！

来自：都昌在线Android客户端

再厉害的密码，对骇客来说，小菜！

左高右低:再厉害的密码，对骇客来说，小菜！ (2013-04-08 11:32) 

来了一个高手，欢迎技术交流：235132@qq.com

这个还真没注意哟！

我什么都是一个密码，但它超级复杂