1. 发现账号被盗

今晚登录人人影视，发现人人影视密码错误，无法登录也无法修改。电脑的人人影视客户端账号一直登录状态，未下线。可以查看个人邮箱和手机号码并未变，但无法修改密码。

2. 竟然需要付费找回密码？

因为账户绑定自己的邮箱和手机号码，盗号者无法获得我邮箱（ gmail 邮箱开启了 2 步验证）或者手机验证码。盗号者，已经修改密码，手机和邮箱没有重置密码提示（其实我多虑了，人人影视已经停止个人用户的手机和邮箱密码重置功能）。盗号者确信是盗取的密码（或者后台修改的密码？？），并重置密码。 2.1 在客户端修改密码，提示原密码错误，无法修改。在网页修改，提示关闭取回密码功能，需要手工加微信，支付 1 元钱取回密码。

http://www.rrys2019.com/user/password/forgot 由于有不法分子利用找回密码功能进行大量发送邮件和短信试图盗取账号，本站找回密码功能将进行人工操作，均由爱好者进行人工处理！为了减少成本以及避免被滥用！每次找回密码操作必须给爱好者发 1 元红包服务费，否则将不予处理！也希望大家珍惜账号，把自己密码写到记事本保存避免遗忘。 如果您发现自己账户突然登录不上且密码错误，基本可以确定是账户被盗，或者密码不符合安全要求，请去修改！ 请加微信号：yyets_master 然后告知自己的邮箱或手机号，发送 1 元红包后（仅限微信），专员将发送找回密码的邮件或短信验证码给您。---------------------------------------> 也可以加 QQ 号免费处理：2142371604 （请勿在 QQ 里发红包，发红包者一律不理会）

2.2 加 QQ 后，提供手机号和用户邮箱，收到手机验证码，重置密码。对方要求支付宝捐赠。

3. 反思盗号疑云

自己一直使用 keepass 保存重要密码，lastpass 保存不重要的网站密码。大部分网站登录密码自动生成，lastpass 已开启两步验证，同时 lastpass 中保存的密码在本地 keepass 中有备份。这次人人影视账户被盗并找回的经历，有许多不解。

3.1 被盗的几种可能：

1. 被暴力破解。人人影视网站有登录限制，原密码是 lastpass 自动生成的 12 位乱码，暴力破解难度很大。
2. 被社会工程学，因为 lastpass 生成的密码，和其他任何网站密码都不相同。此处可能不大。
3. lastpass 密码被盗？理论上不应该，lastpass 一直开启两步验证，只允许笔记本和自己手机登录。
4. 盗号者恰巧盗取了我网盘账号，并获取了网盘中本地 keepass 文件，并猜测出 keepass 密码，从中读取了人人影视密码？太复杂了吧。而且其他账号没丢，只有人人影视账号被丢。 百度贴吧里，有人有类似经历： http://tieba.baidu.com/p/5683370998

结合人人影视收费重置密码的行为，我内心其实一直有某种其他想法，密码会不会是网站后台更改的？我把自己的经历和疑惑写下来，想知道大家有没有类似经历。