kirbybbs
2013-9-15 16:36:23

馬上註冊,結交更多好友,享用更多功能,讓你輕鬆玩轉社區。

上次,Discuz!首次向大家透露了Discuz!X3.1目前最新的研發進展後,站長們的熱情讓我們備受鼓舞,同時Discuz!也看到了站長兄弟們對於新版本的期待。本週我們將繼續向大家介紹Discuz! X3.1對付惡意盜號行為的殺手鐧——帳號保鏢。



1. 弱密碼帳號
       弱密碼帳號,指的是使用“123456”“111111”等極易破解的字符作為帳號密碼來使用的用戶,這部分用戶帳號被破解的難度極低,因此也成為了盜號集團集中破解帳號的目標。
       為了解決這部分用戶帳號被盜用來發布垃圾信息的問題,我們首先調整了產品在註冊處的默認值,同時對密碼最短長度進行了設置,同時也不允許使用純字母或者數字作為密碼;

01.jpg
圖1 註冊密碼複雜度默認值調整

其次,後台新增了弱密碼登錄檢測功能,站長可以設置給弱密碼用戶發送修改密碼的提醒同時也可以強制弱密碼用戶提升密碼安全度。

02.jpg
圖2 弱密碼用戶登陸後收到修改密碼提醒


2. 版主,管理員等高級帳號
       同時,我們發現版主以及管理員帳號因為在論壇權限較高,發帖一般不受各種後台設置影響,因此成為了盜號集團暴力破解的第一目標。而一旦類似的高級帳號被盜,會在短時間內批量發布大量的垃圾信息,對論壇危害極大,也是困擾站長的一大難題。
       為了維護論壇高級帳號的安全,Discuz!X3.1多管齊下,從多個方面杜絕這類暴力破解情形的產生。
       首先,我們加入安全登錄功能,站長可以針對不同的用戶組設置只允許QQ登錄或者郵箱登錄。這樣即使盜號者獲取了高級帳號的用戶名,但是由於他們無法獲得該帳號綁定的QQ號或者郵箱,從而暴力破解就無從下手,對於帳號的安全性的提升效果將是非常顯著的。

03.jpg
圖3 高級用戶組設置安全登錄方式示例

       同時,對於希望保留原有登錄方式的站長我們也進行了充分考慮,站長可以選擇開啟發帖綁定QQ號功能,這樣開啟後用戶必須綁定過QQ號才能發帖,也是對這個防盜號體系一個有機的補充。

04.jpg
圖4 開啟功能後未綁定QQ號用戶發帖時提示

3. 長時間未登錄的不活躍帳號
       根據我們的調研,目前被破解的帳號中很大一部分帳號都是來自於長期未登錄的不活躍帳號,這部分帳號本身對論壇的價值就偏低,被盜後被用來發布垃圾信息對於站長來說就更加得不償失。
       針對這部分帳號,站長可以在後台設置開啟異常登錄檢測功能,開啟後當用戶異地登錄且距離上次登錄超過一定天數天時,帳號會進入未審核組,用戶可以通過驗證郵箱或者申訴解凍帳​​號。

05.jpg
圖5 異常帳號可以通過申訴主動申請解封

4. 與雲驗證碼智能展示緊密結合
       新版本中隨著雲驗證碼功能的接入,我們有了智能檢測可疑盜號行為並展現雲驗證碼這把利劍,我們將智能的區分出暴力多次破解、弱密碼遍歷嘗試、異地登錄等各種可疑行為,不斷的​​提升盜號者的破解成本與難度


       以上就是Discuz!X3.1為了維護論壇的帳號安全體系所打出的幾計重拳,相信在我們的努力與幫助下,站長在與盜號者的鬥爭中一定也能取得勝利。

Flag Counter