模板:User committed identity/sandbox
這是Template:User committed identity(差異)的沙盒。 |
模板參數
沒有描述。
參數 | 描述 | 類型 | 狀態 | |
---|---|---|---|---|
雜湊數值 | 1 | 沒有描述 | 不明 | 必填 |
雜湊函數 | 2 | 沒有描述
| 不明 | 建議 |
背景顏色 | background | 沒有描述
| 不明 | 非必填 |
邊框顏色 | border | 沒有描述 | 不明 | 非必填 |
邊框闊度 | border-width | 沒有描述
| 不明 | 非必填 |
額外CSS樣式 | extra-style | 沒有描述 | 不明 | 非必填 |
冠詞 | article | 沒有描述 | 不明 | 非必填 |
模板說明
{{User committed identity |雜湊值 <!-- 必填。可以使用漢字、英文字母、數字或英文標點符號等 --> |雜湊函數 <!-- 選用。預設為SHA-512 --> |background= <!-- 選用。背景HTML色彩 --> |border= <!-- 選用。邊框HTML色彩 --> |article= <!-- 選用。用其他冠詞取代「一份」--> |border-width= <!-- 選用。框闊度預設為1--> }}
範例如下:
{{User committed identity|cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e|SHA-512|background=#E0E8FF|border=#aaa|article=一个|border-width=5}}
說明
此模板可用於證明您的身份,例如證明帳號的相關操作是您本人所為,或者在帳號被盜後證明帳戶的所有權。填入雜湊值即可使用。
為何需要?
本模板的預期作用是用來幫助帳號遭竊取的人,但願這種事情不會發生。
如果您用自己的帳號公開了真實身份,而如果帳號被盜您的身份就可以用來和您的朋友重新建立聯絡。需要記住的是,這種情況下您並不能通過自己的帳號和朋友建立聯絡,因為帳號可能被他人控制了。但是,一些維基百科的用戶並沒有透露自己的真實身份或只透露了一點點,這就很難重新證明自己的身份。
除了擁有一個強力密碼或為您的帳號註冊電子郵箱地址外,並沒有什麼可替代的方法。您仍應儘自己所能來防止帳號被利用,包括使用強力密碼及使用公共電腦時記得退出帳號。如果您能做到的話,公開自己的PGP公鑰也是有一定用處的。但是即使您做得再好,帳號仍然有可能被盜,如通過特洛伊木馬或對您的密碼進行暴力破解。使用這個模板就可以為您留下最後一線希望。
如何使用
本模版主要的概念是使用密碼雜湊技術。您需要先選擇一個只有本人知道的密碼字串,再經由單向的密碼雜湊功能編譯這個密碼字串以得到一組亂碼,最後使用此模板公開此編譯好的密碼字串。由於密碼雜湊技術保證沒有一個人會輕易地將亂碼解譯回自設的密碼字串,因此,未來當遇到帳號被洩漏等不幸事件時,如果您可以提供原先的密碼字串,且此密碼字串經過相同密碼雜湊演算法處理後與您之前提供的雜湊值相等,即可十分有力地證明您是此雜湊字串的提供者。
選擇合適字串
- 您所使用的字串應該不容易被猜測。如果您並沒有公開自己的真實身份,那麼任何和您真實身份有關的字串都會是好的字串。如果您曾經公開過自己是誰,您就需要用更多不容易被猜到的資訊。如果您使用的字串容易被猜到,那麼別人也可能會知道您的字串是什麼。
- 您的字串應該和您的身份有一定關係。如果這個字串被人知道,您也可以明白地證明您和這個身份的關係。例如,您的字串可以包括您能拿到的電話號碼和郵箱地址。
- 不要選擇很快就不能證明您身份的字元。例如,當您可能要換電話號碼時將現有的號碼作為字串就是一個不好的選擇。
- 如果您想更換字串,那就換吧。但您應該追溯自己作為密碼使用過的老字串。如果您想進一步證實自己的身份,最好把它們全部公開。這就可以證明您是從這個身份一公開就使用自己帳號的同一個人。
- 您的字元不應該太短:至少要有15個字元。一個精心的攻擊者會使用暴力破解來嘗試所有字元,直到他們猜到您用的字串為止。但如果您的字串足夠長,攻擊也要花費更長的時間。如果您的字串達到15個字元,同樣長度的字串會有1027個,也就是1千秭(這還只計算了只帶空格和字母的字串)。
- 對於類 UNIX 系統用戶,可以使用 /dev/urandom 之類的隨機檔案並用 dd 工具截取一部分內容 (例如:
dd if=/dev/urandom of=目标文件 bs=4096 count=1
) 並儲存妥當。考慮到內容的雜亂性,這樣的字串最好 base64 後傳送給驗證者讓驗證者解密再驗證或者乾脆直接以檔案形式傳送。dd
在經過Root的Android中安裝的Busybox里一般也可以找到,將命令中dd
替換為busybox dd
即可使用,亦可通過安裝Termux來使用dd
,此方法無需root。 - 如果您有一套 PGP 系統,例如 GnuPG,您也可以使用公鑰指紋,並將公鑰放在用戶頁的子頁面處,按照#使用PGP的方法進行驗證。
取得雜湊
使用Fastily的瀏覽器工具或電腦上的軟件,如GNU核心工具組中提供的sha512sum
。不建議使用其他線上雜湊生成器,因為它們不在維基百科的控制範圍內,不應將您的秘密字串交給它們。
使用
如果要向別人提交自己的身份並證明自己就是最初開始使用這個帳號的人,把最早用來計算的準確密碼串交給一個可靠的用戶。他們可以用相同的字串計算得到適當的hash值,並證明您就是自己宣稱的那個人。
一旦您證明了自己的身份並建立了新的帳號或獲得原始帳號的控制權,您可能要重新建立一個hash值,並將密碼串告訴某個人(可能很多人信任他且您曾經告訴過他密碼串)。
使用PGP
對於一個 PGP 金鑰,需要證明您能夠使用所提供公鑰對應的私鑰,且需要一定時效性保證。PGP 程式的使用方法請參考GPG。
聲明所有權
PGP 可以對一個訊息進行有時間戳的簽章,因此可以有效證明身份。
對於類UNIX系統用戶,可以使用以下命令生成簽章(將 ${USERNAME}
換成用戶名,${DATE}
換為出現異常行為的日期):
echo "此处我(依照 PGP uid 所示的用户)在此声明账号${USERNAME}为我所有,且于${DATE}开始被盗用。" | gpg --clearsign
PGP 的簽章中會帶有時間戳,因此並不一定需要指定時間($(date)
)。
如果您使用Windows,可以建立一個類似內容的文字檔案,或者通過Cygwin等環境處理。
接下來可以將生成的資訊通過電子郵件傳送。
驗證訊息
如果您之前並沒有交換過公鑰,可使用 gpg --import
或類似命令匯入,但請務必檢查這個公鑰與被盜用日之前所提供的公鑰指紋匹配。
接下來您可以使用 gpg --verify
或類似功能進行校驗。請務必確認簽章時間正常。除此之外,您也可以每次都額外要求聲明者簽章您所指定的隨機字串給您,來保證安全性。