看板 DNF 關於我們 聯絡資訊
以下小弟非常表面的看法..大家討論一下 我不知道g社的密碼驗證機制是怎樣的 但是這世界上沒有破不了的加密系統 即使妳用的是RSA加密演算法 加密機制很重要的一個要點在於"時間" 任何的加密系統 如果沒有把金鑰 憑證或是之類的東西加上時間標籤 被破解只是遲早的事情 跟檔案存在client或是server沒有直接關係 當然存在server端要破解決對比client來的困難 但不是存在server就沒問題 這時候又要提到D3(乾 我真的很不想提 但是他在驗證這部份真的作的不錯) D3的驗證器為何說破解不了 因為在一開始設定驗證器時 就已經將驗證器/手機的時間與server同步了 所以只要驗證器/手機還在妳手上 沒有人能知道在這30秒之內的驗證碼是啥 當然時間總是會有誤差 我猜測應該每次認證都會做一次時間同步的動作 如果驗證碼沒有時間限制 從頭到尾都同一組 只要願意花時間 遲早會被破 這也是為何時間標籤很重要的原因 ※ 引述《osalucard (惡魔城)》之銘言: : 標題: Re: [閒聊] 盜帳號 : 時間: Fri May 24 09:05:44 2013 : : : 附帶一提,手機鎖還是沒有用的,昨天被盜的朋友有用手機鎖依然被盜 : : 真不曉得是用什麼黑科技.. : : 這句話如果PO在哈哈姆特我想你會被酸死... : : Garena的手機鎖早晚會被破解的,為什麼? : 因為驗證碼的檔案在client端,不在server端 : (client端即你的電腦,server端即garena的電腦) : 怎麼知道是在client端?很簡單 : 只要你移除競時通,再把競時通安裝回去 : DNF就會再度要求你輸入驗證碼了 : 這就代表驗證碼的檔案存在client端了 這樣問好了 妳所謂的client是指手機還是電腦? 妳的驗證碼取得是手機還是電腦? 這個作法頂多是證明這台電腦並未經過驗證許可 但是發出了連線需求 所以傳出的封包也就不會有驗證碼訊息 所以server才回傳訊息要求輸入驗證碼 如果檔案存在client 何必多此一舉? 包一包送過去server驗證就好啦 所以我個人猜測問題可能是出在"信任此裝置"這裡可能有漏洞 : 一些正版光碟的防盜技術不斷翻新 : 但最後都還是被破解 : 最大的共通特色就是檔案都在client端 拿光碟來當例子有點怪怪的.. 單機遊戲光碟裡面沒內容妳要玩啥..? 遊戲或電影光碟 不放在client要放在哪? : 那又何況是garena的手機鎖呢? : 所以會被破解一點也不意外 我不知道g社手機鎖的演算法怎麼寫的 但說被破解一點也不意外? 我只能假設問題可能出現在"信任此裝置上面" 或許這地方會有漏洞可以鑽 但是理論上 手機鎖如果是跟d3類似的演算法 要破解根本不符合成本效益 : 至於被盜,我想應該是帳號密碼和其他地方剛好一樣,可能是論壇,可能是遊戲 : 個資被賣掉了只是都沒有人知道,這個可能性是最高的 : 再來才是中了木馬,但除非你沒裝防毒或者你是名人 : 不然盜帳號集團也是要講求效率和投資報酬率的 : 一個一個駭客進去盜,太費時費工了 ......盜帳號還要手動我還第一次聽過 前陣子八卦版的網兵DDOS攻擊有參與到嗎? 點開網頁就可以進行攻擊 還需要妳慢慢點? 最單純的暴力攻擊法 用0~9作數字排列 盜帳號還要一個一個猜?當然是用程式下去跑啊 跑完哪個可以登入了再過去手動洗光 然後程式繼續跑 : : : : -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 1.34.229.15 -- ▄▄▄▄▄_____▄▄ 鍵盤協會徵才 ▄▄▄ ▄▄▄▄▄▄ /FF 專長:鍵盤分析 早知道就 \ ▄▄▄▄ 工作:關心比賽 不轉職了! ▄▄ ▄▄ ▄▄▄▄▄▄▄▄▄▄ELO 3000 已哭 ◥▄▄ ▄▄▄▄▄▄待遇:面議 ▄ ▄▄▄ ▄▄▄▄▄▄ ▄上班日期:即刻上工 by aresa ’#‘▄▄ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.222.81.253
TCBeliever:clint -> client...... 05/24 10:25
silencedance:XDDD 糟糕 05/24 10:26
※ 編輯: silencedance 來自: 61.222.81.253 (05/24 10:26)
silencedance:感謝一樓指正 05/24 10:26
intotherain:DNF用的跟D3是同一套系統啊... 哪有那麼好破 05/24 11:13
iloveevilfar:現在garena的智慧型手機密碼鎖app宣稱”不用連網路也 05/24 11:15
iloveevilfar:能得到驗證碼,缺少跟server交換資訊,可能有重大漏 05/24 11:17
vanler:我在上篇也漏了e(艸 05/24 11:18
eliteark:智慧手機驗證碼產生器原始設定就是不用連網路 05/24 11:26
Adven:防君子不防小人 可能盜帳也是這麼一回事 05/24 11:26
Xavy:只好彈蛋蛋了 05/24 11:27
eliteark:只要啟用產生器前有做序號碼連結 05/24 11:27
nobitakun:上面自爆了 0_0 05/24 11:48
i300ml:這篇比較實在 XD 上篇作者不來這討論,在上面搞自爆做啥XD 05/24 11:49
kevin781228:最後根本鬼打牆,可惜了 05/24 11:49
categg:信任此裝置其實只是一種節省對方發送簡訊成本的方式而已 05/24 11:50
categg:因為那個簡訊費是對方付的 05/24 11:51
tothepoint:上面那篇的作者不是前陣子才發文憤怒的說不玩了嗎 05/24 11:51
shadowdio:原文的裝懂防火牆被破解了 只好自爆 05/24 11:51
categg:信任此裝置是用你電腦上的特徵碼跟IP去建立一個驗證檔案 05/24 11:52
categg:伺服器是會對那個檔案做MD5檢查是不是一致 05/24 11:53
categg:假設是拿到原檔案好了 那就表示你已經中木馬被盜了 05/24 11:53
categg:那再假設檔案是假造的好了 問題是動一個碼MD5值就對不起來 05/24 11:54
categg:就跟伺服器端的檔案不一樣 這樣也沒用 05/24 11:55
TCBeliever:好吧 不會用md5 md5太弱了 05/24 11:56
categg:還有G社用的是比較單純的被動式OTP B社用的是比較先進的 05/24 11:56
Mystiera:原本的信任應該是這樣沒錯 05/24 11:56
categg:動式OTP 這兩者還是有點差別 05/24 11:57
Mystiera:可是我回家用我弟的nb 沒勾信任也自動變信任這就.. 05/24 11:58
TCBeliever:等一下..OTP有分主被動? 能不能給個資料參考一下 05/24 12:01
categg:你可以GOOGLE一下主動式OTP跟簡訊式OTP這兩者的資料比對 05/24 12:06
attacksoil:其實這篇根本就是同意上篇的說法吧 卻可以說的好像是在 05/24 12:16
attacksoil:罵批評上篇作者... 有點威 05/24 12:16
nanari:Mystiera>搞不好你弟有在玩 05/24 12:20
TCBeliever:那篇看起來只是某個廠商的商業文阿... 05/24 12:55
categg:給TCB:http://ppt.cc/6uqQ 參考一下 05/24 12:55
TCBeliever:他說的方式是網頁產生認證碼->手機打簡訊送 超麻煩... 05/24 12:56
TCBeliever:&bz是使用app的OTP..不是這種的 05/24 12:56
TCBeliever:穩定成本是因為業者的簡訊費用轉嫁到使用者身上XD 05/24 12:59
silencedance:嗯 我沒跟到 上一篇怎麼刪了?有八卦? 05/24 13:04
iljapan61:沒有備份到全部 http://ppt.cc/7e_H 05/24 13:05
silencedance:上一篇原文是在說因為驗證檔是存在client端 所以容易 05/24 13:07
silencedance:被盜 我的重點是擺在"信任此裝置"上.. 05/24 13:07
silencedance:不可否認server端的確難攻破 但說client端隨便就能 05/24 13:08
silencedance:偽裝也太草率 05/24 13:08
attacksoil:他也是說"信任此裝置"出問題啊... 05/24 13:08
attacksoil:而且這篇你不是也同意在client端比較容易被破解 05/24 13:09
Mystiera:我弟有在玩 他有信任 結果我用他電腦登入我的帳號 05/24 13:09
silencedance:嗯?他有提到是這個機制有問題嗎?那大概是我解讀錯 05/24 13:09
Mystiera:一開始OTP輸入以後就自動信任了 這是安全性的疑慮 05/24 13:10
attacksoil:也可能是我解讀錯啦 05/24 13:10
TCBeliever:Mystiera沒勾信任喔..那真是太扯= = 05/24 13:11
silencedance:主要是他之後回復說"每次都需要驗證沒安全感" 05/24 13:11
silencedance:這句話怎麼看怎麼怪QQ 05/24 13:11
categg:信任此裝置指的是"你信任此台電腦可以用來合法登入" 05/24 13:11
silencedance:My大 妳是說你弟用妳的帳號 勾選信任後登入嗎? 05/24 13:12
TCBeliever:沒勾信任就應該要每次都要輸入才是合理的..明顯有bug? 05/24 13:12
silencedance:還是用他的帳號勾選信任 結果妳的帳號也可以登入? 05/24 13:12
silencedance:如果是後者..靠 那這問題超大 等於他不認帳號認系桶 05/24 13:13
silencedance:貓蛋大 這又有另一個問題 合法登入是指任何帳號? 05/24 13:13
silencedance:還是單一帳號?My大那狀況很像是任何帳號.. 05/24 13:14
categg:常規判斷都是以單帳號討論 但問題是有些人常有兩個帳號以上 05/24 13:16
categg:但不同帳號的驗證碼基本上應該要不一樣才會比較安全 05/24 13:21
categg:可是如果驗證碼=機器識別碼這就有討論空間了 05/24 13:22
iloveevilfar:貓蛋耶(捏爆 05/24 13:26
categg:掐掐不要亂捏爆 05/24 13:31
plutolord:沒仔細看內容 不過同電腦不同帳號 都要認證 05/24 13:37
plutolord:即便A帳號認證勾信任 B帳號登入一樣要重新認證 05/24 13:37
categg:原原文自爆是因為原本的討論變成他用問句回答別人的問題 05/24 13:38
Mystiera:正常是要這樣沒錯 但是我的經驗是這樣 所以才會提出來 05/24 13:39
categg:這不叫討論這叫質問 其實好好討論才比較有教學相長的效果 05/24 13:39
Mystiera:我弟偶爾會抓一些有的沒的東西 所以在家我都會把打勾取消 05/24 13:40
Mystiera:可是忽然他就不需要輸入OTP了(攤手) 05/24 13:40
plutolord:我比較有疑慮的 是假使別人知道我的帳密 遇到手機認證時 05/24 13:42
plutolord:輸入錯誤會有甚麼懲罰? 如果沒有有沒有可能試出認證碼? 05/24 13:44
johnny007:這種認證碼通常都會有時間限制 過了就失效 05/24 13:57
silencedance:plut大基本上這不必擔心 基本上認證碼有效時間是30秒 05/24 14:09
silencedance:少數是1~2分鐘 這麼短得時間很難試出來 05/24 14:10
silencedance:任何加密方式要破解 都必須先通過限制時間這一關 05/24 14:11
silencedance:這也是為啥RSA曾經懸賞20萬美金找人來破解自家產品 05/24 14:12
silencedance:但是還是沒人能破的了的原因 05/24 14:12
silencedance:當然要猜出質數也是很花功夫就是 05/24 14:13
vanler:如果多次輸入錯誤驗證碼會被鎖一小時,不用怕別人無限try 05/24 15:09
vanler:有次到了網咖才發現手機認證掛掉時,發現這機制的QQ 05/24 15:12
plutolord:G! 那就不煩惱了 感謝諸君解答www 05/24 15:26