囧，我的V2ex ID被修改密码...

相同情况，而且同学的也是
所以我刚刚新注册了一个

@kindlepaper 什么情况这是... 为什么不「忘记密码」取回？

@linsk 因为我邮箱当时填了以后就随便改了
怕垃圾邮件

嘘....我也是的 我以为是我的密码太简单了
不过啥也木有发生 然后我重新改了密码

@livid

我的也被修改了

刚刚通过邮箱找回密码~请 @livid 关注

我是前天晚上发生的，也是用的弱密码
应该是那个王八蛋用了暴力破解在扫我们的帐号
请 @livid 关注

楼主94号，看来今夜会扫到我这来

会不会再google一下我们的帐号，然后用破出来的密码，看那个网站有利可图就.......

@ahu 是啊。很遗憾不是64号啊...

@insub 我也是2天前发生的，大概。

竟然是全站的事。

我正在看日志。

...先把弱密码改掉了.

请大家人肉一下这两个 IP 地址：

222.125.162.152
116.24.10.71

这里用户名都是暴露的，我写个脚本 把v2ex扫一遍 把@ 的页面名字拔下来 然后弱口令跑 基本一大批帐号会挂。。。好像现在直接通过id就能得到用户名了

我的建议是 邮箱登陆 这个问题就解决咯 邮箱都是没暴露出来的

或者登陆加个验证码 加个多次错误登陆封ip什么的

好吧 真有人闲着没事干了 小学生吧

好吧，我先去把密码改了。

@tokki 多谢建议。

我正在改登录接口。

@kindlepaper V2EX 过去，从来，未来绝对不会发送任何垃圾邮件。发垃圾邮件推广网站提高 KPI 的都是傻逼。

你可以发邮件到 livid at v2ex.com 告诉我你之前的账号及一个可以收到信的邮箱，然后帮你把邮箱改掉之后，你就可以通过邮箱找回密码。

如果你还在用任何 CSDN 事件之前的密码，请一定改掉。

@tokki @livid
还有一种方案是，更改邮箱时需要在原邮箱接收邮件，这样可以确保能找回密码，否则要是密码和邮箱都被改掉，就很麻烦了
登录加个次数校验也是有必要的

同样故意用的弱密码被扫了，马上改了密码。不知道拿这个帐号来有什么用。

我比较好奇各位所说的弱密码究竟有多弱？

已经在 /signin 部署了一些新措施。

扫描的 IP 地址已经被 block。

自动 block 机制我现在正在本地开发测试中。PST 时间 11 号天亮之前上线。

@Livid 赞。

/signin 的 rate limit 已经部署。接下来会在其他敏感页面上也部署同样的机制。

我还以为就我的被改了呢，汗。。。

针对敏感页面的 rate limit 已经部署。不会影响正常使用，但是可以彻底避免类似事件的再次发生。

@Livid 123456一扫一大片

@Livid 如果数据库密码只用固定salt的话，group by一下，根据分布情况都可以看出密码是什么来

@Livid 个人感觉密码六位及以下纯数字或者纯字母这样的都算弱口令……还有您提到「V2EX 过去，从来，未来绝对不会发送任何垃圾邮件」，这句话没错，印象中好像从来没收到过 v2ex 的邮件，感觉如果有像「知乎每周精选」这样的东西的话也是很不错的…

我的密码也被改了，郁闷

我的好像没有……

国内国外两套不同的邮箱和密码，v2属于国外的。。。。

升级了一级密码。。。偷懒都不行。。。唉。

我以为我忘了 原来是密码被改了 -_-!

防止万一，修改了v2ex密码，14位的随机英文数字组合。1password生成的。

密码，邮件均被改了。估计很快会有僵尸发小广告的出现了。

@zzz http://www.v2ex.com/t/57323