→ robler: 公司內部為啥需要https 01/14 13:19
→ robler: 有連外的才需要吧 01/14 13:19
→ flyingIdea: 我指的是給client用的帳密那部份 可能我文寫的不清楚 01/14 13:20
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:23:04
推 ccpz: 遇上使用者擺爛,密碼只想用四位數字時,什麼安全都沒用 01/14 13:34
→ robler: 郵局帳戶也是四位數字密碼 怎麼沒被人盜光光? 01/14 13:39
推 knives: 推樓上,不過應該可以檢查強度吧 01/14 13:40
→ robler: 密碼複雜度只是資安裡的一小部份 只有最不負任的管理者 01/14 13:41
→ robler: 才會一昧的要求使用者用更複雜的密碼 01/14 13:41
→ uranusjr: 郵局四位密碼要臨櫃才能用吧, 金融卡是六位 01/14 13:42
→ robler: 真正因為密碼被暴力破解的資安事件...真的有嗎 01/14 13:44
→ hSATAC: 不太懂你的故事跟你想問什麼... 01/14 13:44
→ flyingIdea: 四位密碼還有一個原因是因為錯3次會被鎖卡吧? 01/14 13:47
→ flyingIdea: 網路你可以一直TRY到密碼正確為止 少部份的網站才會 01/14 13:47
→ flyingIdea: 鎖你的帳密 01/14 13:47
推 noonOut: 你如果是想 cover 傳輸密碼的部分,就 oauth 就好 01/14 13:48
→ flyingIdea: 我想問的是關於帳密資安的部份大家是怎麼做的 01/14 13:48
→ flyingIdea: 包括authorization communication ....等等的動作 01/14 13:49
→ flyingIdea: 大家公司的做法是怎樣 是用網路上的還是自幹? 01/14 13:51
→ flyingIdea: OAUTH我查了一下 好像也是建議要用HTTPS來傳? 01/14 13:51
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:57:47
→ TonyQ: @robler 有小道消息指出前陣子的 icloud 事件 最大嫌疑是這 01/14 13:56
→ TonyQ: 郵局帳戶之所以沒有被盜光,是因為 try 三次就結束。 01/14 13:57
推 TonyQ: 密碼強度的確不是最重要的事,有周邊條件就可以不用太強。 01/14 13:57
→ LINGZ: 一樓對於公司內部不用https的觀念不是很好. 01/14 14:13
→ hSATAC: 傳輸的部份 https 基本上是一定要的, 企業內部可以自簽 CA 01/14 16:22
推 now99: otp 01/14 18:48
推 gn00273680: HSM 01/14 23:06
推 jammy50605: 自簽CA還要請client瀏覽器加入信任 有人會覺得很麻煩 01/15 10:49
推 abccbaandy: 樓上,不都是教使用者按繼續瀏覽?XD 01/15 10:57
推 didiOGC: 密碼加鹽之後hash,協定走https,登入加圖形驗證 01/15 15:55
→ didiOGC: 如果怕持有密碼,那就用oauth給別人處理吧 01/15 15:56
推 mathrew: 當網站輸入三次錯誤就鎖帳號 當然就可以不要求複雜度 01/15 22:06
→ mathrew: 但是這樣設計 應該會先被User幹死吧,那就只好要求 01/15 22:06
→ mathrew: 密碼複雜度囉 這跟管理者負不負責沒甚麼關係吧 01/15 22:07
→ mathrew: 難道 User 中毒導致密碼被偷 也要怪管理者嗎 01/15 22:08
推 goodogod: D:\password.txt 01/17 13:53