推 TCBeliever:clint -> client...... 05/24 10:25
→ silencedance:XDDD 糟糕 05/24 10:26
※ 編輯: silencedance 來自: 61.222.81.253 (05/24 10:26)
→ silencedance:感謝一樓指正 05/24 10:26
推 intotherain:DNF用的跟D3是同一套系統啊... 哪有那麼好破 05/24 11:13
→ iloveevilfar:現在garena的智慧型手機密碼鎖app宣稱”不用連網路也 05/24 11:15
→ iloveevilfar:能得到驗證碼,缺少跟server交換資訊,可能有重大漏 05/24 11:17
→ vanler:我在上篇也漏了e(艸 05/24 11:18
→ eliteark:智慧手機驗證碼產生器原始設定就是不用連網路 05/24 11:26
→ Adven:防君子不防小人 可能盜帳也是這麼一回事 05/24 11:26
→ Xavy:只好彈蛋蛋了 05/24 11:27
→ eliteark:只要啟用產生器前有做序號碼連結 05/24 11:27
推 nobitakun:上面自爆了 0_0 05/24 11:48
→ i300ml:這篇比較實在 XD 上篇作者不來這討論,在上面搞自爆做啥XD 05/24 11:49
推 kevin781228:最後根本鬼打牆,可惜了 05/24 11:49
→ categg:信任此裝置其實只是一種節省對方發送簡訊成本的方式而已 05/24 11:50
→ categg:因為那個簡訊費是對方付的 05/24 11:51
推 tothepoint:上面那篇的作者不是前陣子才發文憤怒的說不玩了嗎 05/24 11:51
→ shadowdio:原文的裝懂防火牆被破解了 只好自爆 05/24 11:51
→ categg:信任此裝置是用你電腦上的特徵碼跟IP去建立一個驗證檔案 05/24 11:52
→ categg:伺服器是會對那個檔案做MD5檢查是不是一致 05/24 11:53
→ categg:假設是拿到原檔案好了 那就表示你已經中木馬被盜了 05/24 11:53
→ categg:那再假設檔案是假造的好了 問題是動一個碼MD5值就對不起來 05/24 11:54
→ categg:就跟伺服器端的檔案不一樣 這樣也沒用 05/24 11:55
→ TCBeliever:好吧 不會用md5 md5太弱了 05/24 11:56
→ categg:還有G社用的是比較單純的被動式OTP B社用的是比較先進的 05/24 11:56
→ Mystiera:原本的信任應該是這樣沒錯 05/24 11:56
→ categg:動式OTP 這兩者還是有點差別 05/24 11:57
→ Mystiera:可是我回家用我弟的nb 沒勾信任也自動變信任這就.. 05/24 11:58
→ TCBeliever:等一下..OTP有分主被動? 能不能給個資料參考一下 05/24 12:01
→ categg:你可以GOOGLE一下主動式OTP跟簡訊式OTP這兩者的資料比對 05/24 12:06
推 attacksoil:其實這篇根本就是同意上篇的說法吧 卻可以說的好像是在 05/24 12:16
→ attacksoil:罵批評上篇作者... 有點威 05/24 12:16
→ nanari:Mystiera>搞不好你弟有在玩 05/24 12:20
推 TCBeliever:那篇看起來只是某個廠商的商業文阿... 05/24 12:55
→ TCBeliever:他說的方式是網頁產生認證碼->手機打簡訊送 超麻煩... 05/24 12:56
→ TCBeliever:&bz是使用app的OTP..不是這種的 05/24 12:56
推 TCBeliever:穩定成本是因為業者的簡訊費用轉嫁到使用者身上XD 05/24 12:59
→ silencedance:嗯 我沒跟到 上一篇怎麼刪了?有八卦? 05/24 13:04
→ silencedance:上一篇原文是在說因為驗證檔是存在client端 所以容易 05/24 13:07
→ silencedance:被盜 我的重點是擺在"信任此裝置"上.. 05/24 13:07
→ silencedance:不可否認server端的確難攻破 但說client端隨便就能 05/24 13:08
→ silencedance:偽裝也太草率 05/24 13:08
推 attacksoil:他也是說"信任此裝置"出問題啊... 05/24 13:08
→ attacksoil:而且這篇你不是也同意在client端比較容易被破解 05/24 13:09
→ Mystiera:我弟有在玩 他有信任 結果我用他電腦登入我的帳號 05/24 13:09
→ silencedance:嗯?他有提到是這個機制有問題嗎?那大概是我解讀錯 05/24 13:09
→ Mystiera:一開始OTP輸入以後就自動信任了 這是安全性的疑慮 05/24 13:10
→ attacksoil:也可能是我解讀錯啦 05/24 13:10
推 TCBeliever:Mystiera沒勾信任喔..那真是太扯= = 05/24 13:11
→ silencedance:主要是他之後回復說"每次都需要驗證沒安全感" 05/24 13:11
→ silencedance:這句話怎麼看怎麼怪QQ 05/24 13:11
→ categg:信任此裝置指的是"你信任此台電腦可以用來合法登入" 05/24 13:11
→ silencedance:My大 妳是說你弟用妳的帳號 勾選信任後登入嗎? 05/24 13:12
→ TCBeliever:沒勾信任就應該要每次都要輸入才是合理的..明顯有bug? 05/24 13:12
→ silencedance:還是用他的帳號勾選信任 結果妳的帳號也可以登入? 05/24 13:12
→ silencedance:如果是後者..靠 那這問題超大 等於他不認帳號認系桶 05/24 13:13
→ silencedance:貓蛋大 這又有另一個問題 合法登入是指任何帳號? 05/24 13:13
→ silencedance:還是單一帳號?My大那狀況很像是任何帳號.. 05/24 13:14
→ categg:常規判斷都是以單帳號討論 但問題是有些人常有兩個帳號以上 05/24 13:16
→ categg:但不同帳號的驗證碼基本上應該要不一樣才會比較安全 05/24 13:21
→ categg:可是如果驗證碼=機器識別碼這就有討論空間了 05/24 13:22
→ iloveevilfar:貓蛋耶(捏爆 05/24 13:26
→ categg:掐掐不要亂捏爆 05/24 13:31
推 plutolord:沒仔細看內容 不過同電腦不同帳號 都要認證 05/24 13:37
→ plutolord:即便A帳號認證勾信任 B帳號登入一樣要重新認證 05/24 13:37
→ categg:原原文自爆是因為原本的討論變成他用問句回答別人的問題 05/24 13:38
→ Mystiera:正常是要這樣沒錯 但是我的經驗是這樣 所以才會提出來 05/24 13:39
→ categg:這不叫討論這叫質問 其實好好討論才比較有教學相長的效果 05/24 13:39
→ Mystiera:我弟偶爾會抓一些有的沒的東西 所以在家我都會把打勾取消 05/24 13:40
→ Mystiera:可是忽然他就不需要輸入OTP了(攤手) 05/24 13:40
推 plutolord:我比較有疑慮的 是假使別人知道我的帳密 遇到手機認證時 05/24 13:42
→ plutolord:輸入錯誤會有甚麼懲罰? 如果沒有有沒有可能試出認證碼? 05/24 13:44
→ johnny007:這種認證碼通常都會有時間限制 過了就失效 05/24 13:57
→ silencedance:plut大基本上這不必擔心 基本上認證碼有效時間是30秒 05/24 14:09
→ silencedance:少數是1~2分鐘 這麼短得時間很難試出來 05/24 14:10
→ silencedance:任何加密方式要破解 都必須先通過限制時間這一關 05/24 14:11
→ silencedance:這也是為啥RSA曾經懸賞20萬美金找人來破解自家產品 05/24 14:12
→ silencedance:但是還是沒人能破的了的原因 05/24 14:12
→ silencedance:當然要猜出質數也是很花功夫就是 05/24 14:13
→ vanler:如果多次輸入錯誤驗證碼會被鎖一小時,不用怕別人無限try 05/24 15:09
→ vanler:有次到了網咖才發現手機認證掛掉時,發現這機制的QQ 05/24 15:12
推 plutolord:G! 那就不煩惱了 感謝諸君解答www 05/24 15:26