账号被盗恶意登录，现在密码改成了 100 位强密码并启用了双重认证，这下安全了吧？

我还没见过几个网站支持 100 位密码的。

说起来就很难受，电脑中 Trojan 病毒此号不知情,被别人 1 .登录 Google Ads 用我账号推广了自己的违反 Google Guidlines 的垃圾广告 10 多天（ Google 发现可以把我的 Google Adsl 账号给 suspend （暂停）了），还好 Google Adsl 由 1 个月的试用期，口德是 Google 赠送的试用费用。2.给 Youtube 上传垃圾违反 YouTube Guidlines 的视频导致 YouTube 账号遭到了限制了，导致封了我 YouTUbe 账号 7 天。

@kebamt 都知道是病毒了 明显密码再长都没用啊

病毒来源是什么，说出来给我们借鉴下
可疑网页还是破解软件？

好家伙，key 级 password，你搁这儿导密钥呢。

@TypeError https://graph.org/%E7%94%B5%E8%84%91%E4%B8%AD%E7%97%85%E6%AF%92%E8%B4%A6%E5%8F%B7%E5%8F%97%E6%9D%A5%E8%87%AA%E4%BF%84%E7%BD%97%E6%96%AFIP%E7%9A%84%E6%94%BB%E5%87%BB-06-21

我知道病毒来源了（那小子在用我的频道上传垃圾视频，视频简介里有链接），按那链接小心翼翼的去下载那个软件，安全软件立马给拦截了，查杀结果跟之前的一样，看来不用安全软件裸奔是不行的。

那个垃圾病毒链接（不建议在未开启安全软件下去尝试）：Link Mediafire: https://www.mediafire.com/folder/jwkei85ufe2uw/[Update]+Discord+Nitro+Generator Password: 123

上面链接里有此次事件详细描述。

其实 100 字符和十几个字符差距不大

说到密码，说个题外的，Google 和 apple 的密码保存里都在提醒有多少个网站密码被泄漏了，我这大概显示得有 100 多个网站，你们都会挨个改吗？还是选择无视了

@edinina 无视

@edinina 选择注销……或者无视 哈哈

@crclz 如果它猜测的话有天大的区别，但是如果它通过病毒感染盗取保存数据的话确实没什么区别

800bit 的密钥

不够
请开启高级保护计划

https://landing.google.com/intl/zh-CN/advancedprotection/

@edinina 改了，花了一下午时间迁移到 bitwarden，重要网站都重新验证后修改成强密码，一些基本不会再使用的论坛密码就不理了

@kebamt 你电脑之前是裸奔的？

@edinina 太多了只能选择无视或者改一些认为重要的

其实两步验证就能避免大部分的盗窃。

用了密码管理器后，别说 100 位，1024 位我都敢设置
只要是不能复制粘贴密码的网站，我就不用了

按照你的描述，和密码强度没有关系，哪怕两步验证也没用

@aoeui #19 win 电脑不是一直都裸奔吗

有些应用服务商很奇葩，他会在本地把你的密码使用 md5 进行计算，然后传给后端，后端再对这个 32 位的 hash 进行 hash 然后保存，这时候，你的密码即使有 100 位的数字英文符号组合，在服务器看来，也就只是 32 个字母而已了

越来越多的网站和 app 采用了国密算法，密码输入框是不能复制和粘贴的，密码保存软件不知道以后如何应对

@faqqcn 那其实也是有区别的。暴力破解也不可能枚举那个 32 位的 hash 值。

@felixlong google 账号不是本地密码，这些云端账号本来就不能暴力破解。

100 位？牛了，不过有了两步验证不就很安全了？
如果两步都能破，100 位，估计也没啥问题了

Google 账号启用 TOTP 就够了，实际上所有重要的账号都需要 2FA

看了下 1Password 里储存的密码，近 600 个网站中只有不到 30 个使用了特定规则生成的密码用于手工输入，其余网站全部使用随机生成的强密码
国内网站绝大多数都支持手机验证码登录，密码随便设置一个就够了

@shakoon 不能复制可以理解，不能粘贴是什么毛病....

@pkoukk 可以粘贴等于可以复制

登入凭证=cookie

你打开自己电脑游览器，不需要登入，就能打开自己的 fb，ig 等等。这是因为有登入凭证。
这些登入凭证是可以窃取的。并且有些人被窃取了登入凭证都不知道。
更夸张的是，很大部分的登入凭证都不会过期。
能窃取你登入凭证的同时，也都会窃取游览器的密码，游览记录。
登入凭证大约 2kb 。
储存于游览器的密码大约 50kb
近期游览记录大约 100kb 。
这些文件在不需要 1 秒的时间里就会被传出去。


什么情况在被窃取的呢？
1. 太爱用破解软件。比如 kms 激活工具, adobe 破解等等。
2. 点击来历不明的 email 。
3. 游览奇怪的网页，比如黄色网站。
4. 打开来历不明的图片，虽然是图片，但是是个 spyware 。


怎么防?
1. 打开两步验证。可以的话，用 security keys，别用 TOTP 。
2. 时常更换密码。
3. 清楚游览器的 cookie，data 等等。

@shakoon 国密算法跟不可粘贴有联系吗？

@shakoon KeePass 那个自动填充是啥原理，就是按快捷键自动打出密码的，这个能否一战

@xieqiqiang00 不行，你网页整一个 input type=password 就是只能粘贴没法复制的

@dingwen07 #16
对于高级保护计划，补充一点，根据木桶原理，添加完密钥之后，需要删除掉“不太强”的两步验证渠道(例如短信、auth app)。

@ivanor auth app 为何会"不太强" 动静结合不应该会更好么。

@amirobotics 所以说 1pass 这种密码管理软件能自动填充登录应该来说是一件很好的事情，我就习惯每次都登录。然而某些国产 app 、页面总是要禁掉这块。

@edinina 什么时候用到什么时候改，我这边泄露的都是不重要的，而且还是几年前的常用密码，没必要专门去改了

@MengiNo #38
1 在线同步会有泄露的风险（ app 账号密码泄露、app 被攻破泄露、自己泄露）
2 很多人为了方便会备份二维码，又多了一个泄露途径

如果你是随机生成的密码，那 100 位和 30 位安全性上没太大区别：在有预期的未来都没办法暴力破解；而如果是被窃取的也都一样可以被盗用。

@edinina 无视，现在改个密码要绑定手机，有些还要实名认证。。。那些都是古老的用邮箱注册的号。

@lakehylia 就有密码能登录，有两步验证器，有邮箱，甚至都改不了一个手机，国内的环境已经恶臭成这样我最近也是大开眼界。

看了下 原来是裸奔啊，裸奔被盗不活该么。
之前看过不少人在论坛里说，裸奔，说自己没啥重要资料，银行卡里没钱这样的言论，就觉的挺傻的。
还有人对 360 嗤之以鼻的，哎，个个都是大神。

@felixlong 但是当别人知道你的传递方式后，就可以只拼接 32 位的 hash 来进行了，不用在去考虑复杂的英文数字和符号的组合的，虽然这样也是有很大的成本，但是相较于英文数字加符号的组合，安全度就下降很多了

sodium
yubikey

@aoeui 是的，因为之前没遭过攻击啥的，还有感觉时刻运行额外的杀毒软件拖慢电脑速度就给关掉了的，系统自带的也关了的。

想问下你密码管理器的密码的多少位的

@amirobotics 我好像就是去下载 Bandizip 破解版感染上的病毒。为了确认我开卡巴斯基的情况下访问了哪个网站，别说下载到电脑在网页端就识别出来拦截下载了

@Pastsong 我不用密码管理器的，很惭愧

@ivanor #37 高级保护计划不允许“不太强”的两步验证渠道

笑了

双因子认证没办法了，比 10240 位密码强多了。

two-step 开启还会被盗？

Discord+Nitro+Generator

说句难听的 有脑子的会下这个？

@br2049 没有，应该不止这个，跟别的软件附在一起下载了。这玩意儿是啥我都不知道怎么会下载呢

@faqqcn #25 这其实是好的，本质上对敏感信息脱敏了，服务商不会拿着你的密码去其他地方撞库。以目前的计算机能力来看，32 位已经足够对抗暴力破解了。

有些朋友说 cookie = 密码，多数情况下，这是对的，不过这任然取决于服务提供商的策略以及他们认为应该提供多大的安全校验。

比如国内的很多银行 cookie 与登入的 IP 是绑定的，变更 IP 后，原先的登录状态会失效。

@codehz 你没听明白.... 你不复制你怎么粘贴？

字符注入式密码和邮箱

一个二步验证就够啦

马其顿防线。

@kebamt 裸奔还敢下载运行来历不明的程序，我装杀软都不敢

@shadowfish0 keepass 我记得默认是模拟键盘输入来着，应该不会被禁止复制粘贴的影响。

@kebamt win10 自带的安全就很好用呀

@ivanor 开了高级保护计划只能用硬件密钥登陆

@faqqcn 前端先 hash 再传，这不是奇葩是非常正确的做法，至于拼接爆破在这个天文数字上面都没有意义的

自从我 windows 下的 enpass 莫名其妙突然打不开我就没设置过这么长的密码