→ tornado1621: 自己寫 12/11 21:30
→ a79111010: 作出來也要網站有支援不是嗎? 沒支援也不能用 12/11 21:31
推 greg7575: 好聰明! 12/11 21:33
→ ofy: 2FA的totp規範基於雙方約定一Key藉由這把Key跟時間計算得出 12/11 21:46
→ ofy: 你說的變形數字僅是App顯示的問題(無法直接複製) 12/11 21:46
→ ofy: 但背後計算出的還是數字而不是圖形識別..... 12/11 21:46
→ ofy: 只要你能把約定好的那把Key導出來 12/11 21:46
→ ofy: 換個相容totp的App一樣能算出純數字顯示的2FA passcode 12/11 21:46
→ ofy: 真的在意安全性你可以考慮用YubiKey這種類似硬體錢包的2FA 12/11 21:50
→ l1724108: 這樣應該會先搞到需要輸入的自己吧 12/11 21:50
→ ofy: 不過平台(交易所)的2FA要有套入這類2FA的SDK才能用 12/11 21:53
推 ghb: 要我猜哪個圖片有紅綠燈我才不要 12/11 22:05
→ ofy: Google Authenticator之所以不做雲端備份是有理由的 12/11 22:12
→ ofy: 讓那串約定好的Key被限制在App層空間裡 12/11 22:12
→ ofy: 除非能碰到實機匯出功能或有root級漏洞不然基本導不出來 12/11 22:12
我提出這個的用意是
當手機萬一被駭或是中病毒時
2FA,讓對方無法從手機中讀取
※ 編輯: qw5526259 (36.224.226.226 臺灣), 12/11/2021 22:30:19
→ ofy: 你是root了還是遇有漏洞的系統層App,不然純應用層App正常的話 12/11 22:40
→ ofy: 是讀不到其他應用層App的私密空間檔案喔!!權限不夠 12/11 22:40
謝謝,了解
→ cp296633: 別root 別越獄 別手動裝apk ipa 安卓都從play抓app 12/11 22:47
→ cp296633: 100安全就拿汰換手機原廠化 裝完2fa就永久斷網拔sim當 12/11 22:50
→ cp296633: 硬體專用2fa 12/11 22:50
※ 編輯: qw5526259 (36.224.226.226 臺灣), 12/11/2021 22:53:06
推 fiiox3: 如果已經有管道擷取2FA不管是圖形或數字 12/12 00:29
→ fiiox3: 那個變形圖要解讀出來,程式比人類快多了 12/12 00:29
→ fiiox3: 程式都看不懂的,人類也別想看懂 12/12 00:29
推 xluds24805: 被駭了你 2fa 的 key 也就掉了呀 12/12 17:00
推 Rasin: 理論上2FA也可以破解 只要幾組六碼輸出跟輸入位數 12/12 20:26
推 Rasin: 建議把2FA上面註明網站跟信箱 至少把信箱刪掉 12/12 20:38