建议BBS登录增加双重验证
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
另一个(临时的)办法是让BBS上显示的用户名与登陆用的用户名不一样(比如把用户名Hash一下显示出来),增加暴力破解的难度。
如果BBS无法保证账号安全的话,鹊桥版的乱象是难以改善的。
看了大家的回复,补充一下:
可否考虑鹊桥版发帖需要双重验证?看帖和回帖不用,只是发帖需要。毕竟征友发个帖子验证一下也不麻烦,看帖和回帖保持现状不影响应征和吃瓜。
既然区务以上已经有双重验证了,改代码的工作量应该就更小了。
另外这个按版面双重验证的功能做好后,还可以推广到其他版面,比如匿名发帖需要双重验证。
怕你一会儿删了,来个快照
PrunusMume (PrunusMume) 在 ta 的帖子中提到:
把鹊桥关了就最好了,就一道德沦丧的重金求子/卖身换房 版面不知道有什么存续的意义
你这个要求等于是要让青研托管
我自然没意见,至于广大网友嘛。。。我劝你不要因为竞选失败就作怪作妖,难看死了
本站是官方网站,不是野鸡非法站点,不可能找你这样的个体户外包的,笑
现在盗号确实非常难查,早日绑定手机、重新验证信息我觉得还是有必要的,两步验证这种倒在其次
对于盗号问题有时候站务组连表面功夫都懒得做,更是令人担忧
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
单2FA有什么用啊?
确认实名身份得靠iaaa这样的。
(师生和近些年的校友还能用,更老的校友和高校联盟注册的都麻烦)
这就不是贵站想与不想的事
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
贵站几百年前就用上Microsoft Authenticator了,不适用于普通网友只是因为麻烦
还用得着托管青岩?还个体户外包?能不能不要把无知当个性,v老师真是丢死人了
PrunusMume (PrunusMume) 在 ta 的帖子中提到:
把鹊桥关了就最好了,就一道德沦丧的重金求子/卖身换房 版面不知道有什么存续的意义
你这个要求等于是要让青研托管
我自然没意见,至于广大网友嘛。。。我劝你不要因为竞选失败就作怪作妖,难看死了
……
那倒未必很麻烦
工作量主要在产品经理这端,肯定还是有办法的
Postel (天马) 在 ta 的帖子中提到:
单2FA有什么用啊?
确认实名身份得靠iaaa这样的。
(师生和近些年的校友还能用,更老的校友和高校联盟注册的都麻烦)
……
技术组和实习组有讨论过,加2FA对大部分用户来说还是比较麻烦的,我们正在考虑一些其他的反撞库思路 尽量平衡用户体验和安全性
不过学长们都在用爱发电 平时有自己的工作 只能慢慢推进🥹
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
现在的技术条件下有没有啥办法是密码就能保证安全的…现在到处都是先密码再手机,我会觉得你还不如直接让我手机,要这密码有何用我还得输一遍
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
支持2FA. 另外贵站应该考虑让SSH用户禁用密码登录的功能,大多数SSH服务器都这么设置。
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
把鹊桥只读就好了
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
好建议!
就是不知道现在技站有没有人力开发
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
感觉对贵站来说是个轻而易举的事情
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
区务以上早就是了
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……
我也同意关闭鹊桥,并且其他版面也别发类似内容
PrunusMume (PrunusMume) 在 ta 的帖子中提到:
把鹊桥关了就最好了,就一道德沦丧的重金求子/卖身换房 版面不知道有什么存续的意义
你这个要求等于是要让青研托管
我自然没意见,至于广大网友嘛。。。我劝你不要因为竞选失败就作怪作妖,难看死了
……
给你赞 并且把你的发言翻译成多语收我个人文集了
不可回复是我个人习惯,不针对任何人。
PrunusMume (PrunusMume) 在 ta 的帖子中提到:
把鹊桥关了就最好了,就一道德沦丧的重金求子/卖身换房 版面不知道有什么存续的意义
你这个要求等于是要让青研托管
我自然没意见,至于广大网友嘛。。。我劝你不要因为竞选失败就作怪作妖,难看死了
……
Nocchiere (皮亚琴察的鱼) 在 ta 的帖子中提到:
区务以上早就是了
级别不够,孤落寡闻了。
那可否考虑鹊桥版发帖需要双重验证?看帖不用,只是发帖需要。毕竟征友发个帖子验证一下也不麻烦,看帖子保持现状不影响应征和吃瓜
那可否考虑鹊桥版发帖需要双重验证?看帖不用,只是发帖需要。毕竟征友发个帖子验证一下也不麻烦,看帖子保持现状不影响应征和吃瓜
gzz ((*/∇\*)) 在 ta 的帖子中提到:
技术组和实习组有讨论过,加2FA对大部分用户来说还是比较麻烦的,我们正在考虑一些其他的反撞库思路 尽量平衡用户体验和安全性
不过学长们都在用爱发电 平时有自己的工作 只能慢慢推进
重金求子/卖身换房,V老师说得好
附议加登录限制本已凉凉的贵站只会完蛋得更快 =L=
PrunusMume (PrunusMume) 在 ta 的帖子中提到:
把鹊桥关了就最好了,就一道德沦丧的重金求子/卖身换房 版面不知道有什么存续的意义
你这个要求等于是要让青研托管
我自然没意见,至于广大网友嘛。。。我劝你不要因为竞选失败就作怪作妖,难看死了
……
我记忆中以前没怎么见过你的账号。
但自从鹊桥诈骗的事情之后,鹊桥版务辞职,然后鹊桥面临关版时,楼主这个账号开始活跃。
楼主账号近期行为:先是申请鹊桥SG版务,然后又在这里开始打假。这些行为达到了两个目的,第一,有一定的曝光度,很多人见到了这个号。第二,树立关心贵站的形象。
回顾一下诈骗犯U账号的行为,先高调各种动作,然后嫉恶如仇地开始”打假”,各种爆出买账号代征并且讨论上十大,给自己增加曝光度,让树立一个“关心贵站的贵校校友”的虚假形象。
我在这里插个眼,尤其是如果以后此号在鹊桥征友。
SuperKevin (狒狒) 在 ta 的帖子中提到:
近一段时间在鹊桥版已经发现多起疑似盗号事件,被盗号的账号都是发帖数比较多而且近一段时间登陆过BBS的账号。
盲猜盗号者应该是从咸鱼上买了个账号,然后爬取BBS上发的帖子,从中提取出用户名,然后使用字典和其他网站曾经泄露的密码暴力破解这些账号。
我认为比较稳妥的方案是增加双重验证,比如手机短信验证码,或者与Microsoft Authenticator等动态验证工具集成。如果贵站需要技术支持,可以联系我。如果贵站需要人手改代码,我也可以去学校帮忙。
……