V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kebamt
V2EX  ›  Google

账号被盗恶意登录,现在密码改成了 100 位强密码并启用了双重认证,这下安全了吧?

  •  
  •   kebamt · 2021-06-21 23:47:33 +08:00 via iPhone · 8015 次点击
    这是一个创建于 1257 天前的主题,其中的信息可能已经有所发展或是发生改变。
    70 条回复    2021-06-23 17:57:03 +08:00
    Dreax
        1
    Dreax  
       2021-06-21 23:50:38 +08:00   ❤️ 3
    leavic
        2
    leavic  
       2021-06-21 23:54:30 +08:00   ❤️ 2
    我还没见过几个网站支持 100 位密码的。
    kebamt
        3
    kebamt  
    OP
       2021-06-21 23:55:12 +08:00
    说起来就很难受,电脑中 Trojan 病毒此号不知情,被别人 1 .登录 Google Ads 用我账号推广了自己的违反 Google Guidlines 的垃圾广告 10 多天( Google 发现可以把我的 Google Adsl 账号给 suspend (暂停)了),还好 Google Adsl 由 1 个月的试用期,口德是 Google 赠送的试用费用。2.给 Youtube 上传垃圾违反 YouTube Guidlines 的视频导致 YouTube 账号遭到了限制了,导致封了我 YouTUbe 账号 7 天。
    kebamt
        4
    kebamt  
    OP
       2021-06-21 23:55:45 +08:00
    @leavic 谷歌最高是 100 位,我也是今天知道的
    Dreax
        5
    Dreax  
       2021-06-22 00:00:31 +08:00
    @kebamt 都知道是病毒了 明显密码再长都没用啊
    TypeError
        6
    TypeError  
       2021-06-22 00:04:45 +08:00
    病毒来源是什么,说出来给我们借鉴下
    可疑网页还是破解软件?
    Tianao
        7
    Tianao  
       2021-06-22 00:07:23 +08:00 via iPhone
    好家伙,key 级 password,你搁这儿导密钥呢。
    kebamt
        9
    kebamt  
    OP
       2021-06-22 00:12:25 +08:00
    我知道病毒来源了(那小子在用我的频道上传垃圾视频,视频简介里有链接),按那链接小心翼翼的去下载那个软件,安全软件立马给拦截了,查杀结果跟之前的一样,看来不用安全软件裸奔是不行的。

    那个垃圾病毒链接(不建议在未开启安全软件下去尝试):📁Link Mediafire: https://www.mediafire.com/folder/jwkei85ufe2uw/[Update]+Discord+Nitro+Generator ⚙️Password: 123
    kebamt
        10
    kebamt  
    OP
       2021-06-22 00:14:40 +08:00
    上面链接里有此次事件详细描述。
    crclz
        11
    crclz  
       2021-06-22 00:43:57 +08:00   ❤️ 1
    其实 100 字符和十几个字符差距不大
    edinina
        12
    edinina  
       2021-06-22 00:49:20 +08:00
    说到密码,说个题外的,Google 和 apple 的密码保存里都在提醒有多少个网站密码被泄漏了,我这大概显示得有 100 多个网站,你们都会挨个改吗?还是选择无视了
    anranruoxia
        13
    anranruoxia  
       2021-06-22 00:53:43 +08:00 via iPhone
    @edinina 无视
    ericls
        14
    ericls  
       2021-06-22 00:56:47 +08:00 via iPhone
    @edinina 选择注销……或者无视 哈哈
    kebamt
        15
    kebamt  
    OP
       2021-06-22 03:12:23 +08:00 via iPhone
    @crclz 如果它猜测的话有天大的区别,但是如果它通过病毒感染盗取保存数据的话确实没什么区别
    xiadong1994
        16
    xiadong1994  
       2021-06-22 05:00:49 +08:00 via iPhone
    800bit 的密钥
    dingwen07
        17
    dingwen07  
       2021-06-22 05:12:38 +08:00 via iPhone   ❤️ 1
    5xX4U5sUwdELgdQ3
        18
    5xX4U5sUwdELgdQ3  
       2021-06-22 07:41:35 +08:00
    @edinina 改了,花了一下午时间迁移到 bitwarden,重要网站都重新验证后修改成强密码,一些基本不会再使用的论坛密码就不理了
    aoeui
        19
    aoeui  
       2021-06-22 07:56:57 +08:00 via Android
    @kebamt 你电脑之前是裸奔的?
    Xushet
        20
    Xushet  
       2021-06-22 08:19:23 +08:00 via Android
    @edinina 太多了只能选择无视或者改一些认为重要的
    ybbswc
        21
    ybbswc  
       2021-06-22 08:28:59 +08:00
    其实两步验证就能避免大部分的盗窃。
    Clash
        22
    Clash  
       2021-06-22 08:32:09 +08:00   ❤️ 1
    用了密码管理器后,别说 100 位,1024 位我都敢设置
    只要是不能复制粘贴密码的网站,我就不用了
    0o0O0o0O0o
        23
    0o0O0o0O0o  
       2021-06-22 08:47:27 +08:00 via iPhone
    按照你的描述,和密码强度没有关系,哪怕两步验证也没用
    qwer666df
        24
    qwer666df  
       2021-06-22 09:22:00 +08:00
    @aoeui #19 win 电脑不是一直都裸奔吗
    Rache1
        25
    Rache1  
       2021-06-22 09:25:39 +08:00
    😂 有些应用服务商很奇葩,他会在本地把你的密码使用 md5 进行计算,然后传给后端,后端再对这个 32 位的 hash 进行 hash 然后保存,这时候,你的密码即使有 100 位的数字英文符号组合,在服务器看来,也就只是 32 个字母而已了
    shakoon
        26
    shakoon  
       2021-06-22 09:36:23 +08:00   ❤️ 1
    越来越多的网站和 app 采用了国密算法,密码输入框是不能复制和粘贴的,密码保存软件不知道以后如何应对
    felixlong
        27
    felixlong  
       2021-06-22 09:36:39 +08:00
    @faqqcn 那其实也是有区别的。暴力破解也不可能枚举那个 32 位的 hash 值。
    cmdOptionKana
        28
    cmdOptionKana  
       2021-06-22 09:47:44 +08:00
    @felixlong google 账号不是本地密码,这些云端账号本来就不能暴力破解。
    Lemeng
        29
    Lemeng  
       2021-06-22 09:54:01 +08:00
    100 位?牛了,不过有了两步验证不就很安全了?
    如果两步都能破,100 位,估计也没啥问题了
    terence4444
        30
    terence4444  
       2021-06-22 09:57:18 +08:00   ❤️ 1
    Google 账号启用 TOTP 就够了,实际上所有重要的账号都需要 2FA
    typetraits
        31
    typetraits  
       2021-06-22 10:21:41 +08:00
    看了下 1Password 里储存的密码,近 600 个网站中只有不到 30 个使用了特定规则生成的密码用于手工输入,其余网站全部使用随机生成的强密码
    国内网站绝大多数都支持手机验证码登录,密码随便设置一个就够了
    pkoukk
        32
    pkoukk  
       2021-06-22 10:29:05 +08:00
    @shakoon 不能复制可以理解,不能粘贴是什么毛病....
    xieqiqiang00
        33
    xieqiqiang00  
       2021-06-22 10:34:45 +08:00
    @pkoukk 可以粘贴等于可以复制
    amirobotics
        34
    amirobotics  
       2021-06-22 10:37:04 +08:00   ❤️ 2
    登入凭证=cookie

    你打开自己电脑游览器,不需要登入,就能打开自己的 fb,ig 等等。这是因为有登入凭证。
    这些登入凭证是可以窃取的。并且有些人被窃取了登入凭证都不知道。
    更夸张的是,很大部分的登入凭证都不会过期。
    能窃取你登入凭证的同时,也都会窃取游览器的密码,游览记录。
    登入凭证大约 2kb 。
    储存于游览器的密码大约 50kb
    近期游览记录大约 100kb 。
    这些文件在不需要 1 秒的时间里就会被传出去。


    什么情况在被窃取的呢?
    1. 太爱用破解软件。比如 kms 激活工具, adobe 破解等等。
    2. 点击来历不明的 email 。
    3. 游览奇怪的网页,比如黄色网站。
    4. 打开来历不明的图片,虽然是图片,但是是个 spyware 。


    怎么防?
    1. 打开两步验证。可以的话,用 security keys,别用 TOTP 。
    2. 时常更换密码。
    3. 清楚游览器的 cookie,data 等等。
    Maskeney
        35
    Maskeney  
       2021-06-22 10:39:52 +08:00 via Android   ❤️ 4
    @shakoon 国密算法跟不可粘贴有联系吗?
    shadowfish0
        36
    shadowfish0  
       2021-06-22 10:41:47 +08:00
    @shakoon KeePass 那个自动填充是啥原理,就是按快捷键自动打出密码的,这个能否一战
    codehz
        37
    codehz  
       2021-06-22 10:49:13 +08:00 via Android
    @xieqiqiang00 不行,你网页整一个 input type=password 就是只能粘贴没法复制的
    ivanor
        38
    ivanor  
       2021-06-22 11:44:29 +08:00
    @dingwen07 #16
    对于高级保护计划,补充一点,根据木桶原理,添加完密钥之后,需要删除掉“不太强”的两步验证渠道(例如短信、auth app)。
    MengiNo
        39
    MengiNo  
       2021-06-22 11:55:41 +08:00
    @ivanor auth app 为何会"不太强" 动静结合不应该会更好么。
    MengiNo
        40
    MengiNo  
       2021-06-22 11:59:45 +08:00
    @amirobotics 所以说 1pass 这种密码管理软件能自动填充登录应该来说是一件很好的事情,我就习惯每次都登录。然而某些国产 app 、页面总是要禁掉这块。
    wdy3334
        41
    wdy3334  
       2021-06-22 12:00:30 +08:00 via iPhone
    @edinina 什么时候用到什么时候改,我这边泄露的都是不重要的,而且还是几年前的常用密码,没必要专门去改了
    ivanor
        42
    ivanor  
       2021-06-22 12:01:21 +08:00
    @MengiNo #38
    1 在线同步会有泄露的风险( app 账号密码泄露、app 被攻破泄露、自己泄露)
    2 很多人为了方便会备份二维码,又多了一个泄露途径
    Josephv
        43
    Josephv  
       2021-06-22 12:03:25 +08:00
    如果你是随机生成的密码,那 100 位和 30 位安全性上没太大区别:在有预期的未来都没办法暴力破解;而如果是被窃取的也都一样可以被盗用。
    lakehylia
        44
    lakehylia  
       2021-06-22 12:08:32 +08:00
    @edinina 无视,现在改个密码要绑定手机,有些还要实名认证。。。那些都是古老的用邮箱注册的号。
    MengiNo
        45
    MengiNo  
       2021-06-22 12:16:01 +08:00
    @lakehylia 就有密码能登录,有两步验证器,有邮箱,甚至都改不了一个手机,国内的环境已经恶臭成这样我最近也是大开眼界。
    exploreexe
        46
    exploreexe  
       2021-06-22 12:19:33 +08:00
    看了下 原来是裸奔啊,裸奔被盗不活该么。
    之前看过不少人在论坛里说,裸奔,说自己没啥重要资料,银行卡里没钱这样的言论,就觉的挺傻的。
    还有人对 360 嗤之以鼻的,哎,个个都是大神。
    Rache1
        47
    Rache1  
       2021-06-22 12:37:22 +08:00
    @felixlong 但是当别人知道你的传递方式后,就可以只拼接 32 位的 hash 来进行了,不用在去考虑复杂的英文数字和符号的组合的,虽然这样也是有很大的成本,但是相较于英文数字加符号的组合,安全度就下降很多了
    dzdh
        48
    dzdh  
       2021-06-22 12:48:12 +08:00
    sodium
    yubikey
    kebamt
        49
    kebamt  
    OP
       2021-06-22 13:00:12 +08:00 via iPhone
    @aoeui 是的,因为之前没遭过攻击啥的,还有感觉时刻运行额外的杀毒软件拖慢电脑速度就给关掉了的,系统自带的也关了的。
    Pastsong
        50
    Pastsong  
       2021-06-22 13:05:10 +08:00
    想问下你密码管理器的密码的多少位的
    kebamt
        51
    kebamt  
    OP
       2021-06-22 13:08:48 +08:00 via iPhone
    @amirobotics 我好像就是去下载 Bandizip 破解版感染上的病毒。为了确认我开卡巴斯基的情况下访问了哪个网站,别说下载到电脑在网页端就识别出来拦截下载了
    kebamt
        52
    kebamt  
    OP
       2021-06-22 13:10:01 +08:00 via iPhone
    @Pastsong 我不用密码管理器的,很惭愧😅
    dingwen07
        53
    dingwen07  
       2021-06-22 15:10:04 +08:00 via iPhone   ❤️ 1
    @ivanor #37 高级保护计划不允许“不太强”的两步验证渠道
    vcode
        54
    vcode  
       2021-06-22 15:36:30 +08:00
    笑了
    godall
        55
    godall  
       2021-06-22 17:06:01 +08:00
    双因子认证没办法了,比 10240 位密码强多了。
    Zien
        56
    Zien  
       2021-06-22 17:16:22 +08:00 via iPhone
    two-step 开启还会被盗?
    br2049
        57
    br2049  
       2021-06-22 17:30:27 +08:00
    Discord+Nitro+Generator

    说句难听的 有脑子的会下这个?
    kebamt
        58
    kebamt  
    OP
       2021-06-22 18:40:03 +08:00 via iPhone
    @br2049 没有,应该不止这个,跟别的软件附在一起下载了。这玩意儿是啥我都不知道怎么会下载呢
    gam2046
        59
    gam2046  
       2021-06-22 19:48:04 +08:00
    @faqqcn #25 这其实是好的,本质上对敏感信息脱敏了,服务商不会拿着你的密码去其他地方撞库。以目前的计算机能力来看,32 位已经足够对抗暴力破解了。

    有些朋友说 cookie = 密码,多数情况下,这是对的,不过这任然取决于服务提供商的策略以及他们认为应该提供多大的安全校验。

    比如国内的很多银行 cookie 与登入的 IP 是绑定的,变更 IP 后,原先的登录状态会失效。
    xieqiqiang00
        60
    xieqiqiang00  
       2021-06-22 20:23:12 +08:00
    @codehz 你没听明白.... 你不复制你怎么粘贴?
    israinbow
        61
    israinbow  
       2021-06-22 21:34:25 +08:00
    字符注入式密码和邮箱
    zhaidoudou123
        62
    zhaidoudou123  
       2021-06-23 00:21:19 +08:00   ❤️ 1
    你们裸奔是把 windows defender 也关了的?
    我用 wd 扫描一下马上报毒
    tomari
        63
    tomari  
       2021-06-23 01:10:30 +08:00 via iPhone
    一个二步验证就够啦
    js8510
        64
    js8510  
       2021-06-23 03:52:21 +08:00
    马其顿防线。
    getadoggie
        65
    getadoggie  
       2021-06-23 07:09:12 +08:00 via iPhone
    @kebamt 裸奔还敢下载运行来历不明的程序,我装杀软都不敢
    BloodBlade
        66
    BloodBlade  
       2021-06-23 09:37:58 +08:00 via iPhone
    @shadowfish0 keepass 我记得默认是模拟键盘输入来着,应该不会被禁止复制粘贴的影响。
    jack778
        67
    jack778  
       2021-06-23 12:20:28 +08:00
    @kebamt win10 自带的安全就很好用呀
    jjxtrotter
        68
    jjxtrotter  
       2021-06-23 13:01:50 +08:00 via iPhone   ❤️ 1
    @ivanor 开了高级保护计划只能用硬件密钥登陆
    rekulas
        69
    rekulas  
       2021-06-23 13:15:36 +08:00
    @faqqcn 前端先 hash 再传,这不是奇葩是非常正确的做法,至于拼接爆破在这个天文数字上面都没有意义的
    way2create
        70
    way2create  
       2021-06-23 17:57:03 +08:00
    自从我 windows 下的 enpass 莫名其妙突然打不开我就没设置过这么长的密码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2873 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:38 · PVG 14:38 · LAX 22:38 · JFK 01:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.