您好,
我搜索过类似的问题,但未能找到完全符合我需求的答案。
我试图保护我的管理员账户。我的担忧(虽然很可能是一个边缘情况,但仍有可能发生)是,有人可能会不断尝试使用我的管理员用户名(由于我使用它发布用户指南等内容,因此该用户名是可见的),并通过多次尝试登录将我锁定。我知道这不会永久锁定我,但我希望完全避免这种情况。
启用双因素认证(2FA)能否防止这种情况?
此外,作为最佳实践,我是否应该为自己设置两个账户:一个用于管理论坛的版主账户,另一个用于处理所有管理员相关事务的管理员账户?
我认为我的困惑源于以下事实:当我最初设置论坛时,“system”是执行所有操作的账户,当我发布消息时,消息来源显示为“system”。
谢谢。
如果有人试图暴力破解你的账户,根据我的记忆,系统很可能会封禁其 IP 地址,而不会真正封禁你的账户。
启用双因素认证(2FA)肯定大有裨益,因为它能极大劝退恶意攻击者。
如果你在家用网络上使用静态 IP,或许可以将自己的 IP 地址加入白名单,从而避免被锁在外面。
使用非常长的密码也是抵御暴力破解的有效措施。
如果有人试图以你的身份登录,他们必须知道你在创建账户时使用的电子邮件地址。如果你忘记了密码,他们还需要能够访问你的电子邮件账户才能接收密码重置邮件……而且前提是密码重置功能确实可用。
你是否以管理员身份注销?如果没有,那么每次你访问论坛时,系统都会识别你的 IP 地址和 Cookie,并自动将你登录。如果你注销了,那时你就需要使用创建论坛时所用的电子邮件地址和密码重新登录。
根据你的描述,你是在担心一种可能发生的情况,而不是已经实际发生了某事,对吗?
关于设置独立的管理员账户和版主账户:除非你将版主账户也设为管理员,否则作为版主,你将无法访问管理员功能。我是一名管理员,但没有单独的版主账户。我有一位我信任的版主,我也将她提升为管理员……但她从不插手任何管理员职责(是害怕弄乱论坛吗?
)。但如果我出了什么事——虽然我计划活到 102 岁,所以还有 35 年要过——这位版主可以接管。我另一位版主“只是普通版主”。
“system”指的是论坛软件。当你设置论坛时,你应该已经为自己创建了一个账户,对吧?这似乎是必须的。当你发布内容时,它应该显示为由你发布,而不是由 system 发布。你的帖子显示为来自"system"而不是你的用户名,这看起来很奇怪。
这并不准确,你可以通过用户名登录。
双重认证(2FA)可以防止那些窃取了你的密码但并未在你的电脑上植入恶意软件的人重用该密码。
即使在最坏的情况下,你仍然拥有服务器的 SSH 访问权限,并可以从中恢复你的访问权。
我收回之前的说法。我确实忘了 SSH 访问途径。
感谢大家抽出时间回复,这些回答很有帮助。
看来两步验证(2FA)始终是个好主意,万一出问题,至少我还有 SSH 访问权限。这说得通。
另外,
您完全正确。我确实设置了一个管理员账户,并且我是以该账户身份发帖,而不是以“系统”身份。这是我的疏忽。
是否有人知道能否更改设置,以禁止使用用户名登录(即强制要求使用邮箱)?
再次感谢。
没错。这一原则适用于所有场景,而不仅仅是 Discourse。如果您使用的网站支持两步验证,请务必将其配置好。