推 l00011799z: 1/999999的機率 01/03 11:52
推 allen20937: 在怎麼安全的系統都會有個破綻,就是人類,有很多人被 01/03 11:52
→ allen20937: 釣魚輸入驗證碼 01/03 11:52
→ allen20937: 所以會不會被盜取決於操作系統的人 01/03 11:53
→ corlos: 推樓上 再怎麼安全的東西 還是87人類操作就是洞 01/03 11:53
推 Arkzeil: 這種系統最大的漏洞一定都是使用者自己交出驗證碼 01/03 11:53
推 ckwing03: 簡單的密碼系統用電腦解 複雜的多半用社交工程 01/03 11:54
推 FXW11314: 這種OTP有開源免費的,像freeotp,應該沒有權利金 01/03 11:55
→ vivianqq30: 可是還有那種假官網 沒去注意根本分不出來 01/03 11:55
怕
有真實案例嗎
網路遊戲界
※ 編輯: GrimmNotes (220.128.156.145 臺灣), 01/03/2022 11:55:47
→ ThreekRoger: 現在很多手機認證後應該很少了吧 01/03 11:55
→ ckwing03: 要故意弄一個人是一定能解 01/03 11:56
推 h75311418: steam驗證碼都有人會被盜了這個怎麼不會,反正被盜的 01/03 11:56
→ h75311418: 高機率電腦早就中木馬,或是亂點釣魚網站看到信箱或陌 01/03 11:56
→ h75311418: 生私訊騙說有免費遊戲連結就點 01/03 11:56
→ FXW11314: 然後會被破解的還是有,除了使用者自爆以外也有過後端 01/03 11:56
→ FXW11314: 的token被整組幹走,這種狀況你密碼再強也沒用 01/03 11:56
推 roea68roea68: 這不是google的吧 同一套系統你能用估狗或MS或其他 01/03 11:56
→ roea68roea68: 的app 01/03 11:57
→ roea68roea68: 技術本身很難破 但除此之外很多漏洞 最簡單的騙騙 01/03 11:57
推 aya16810: 到現在還是搞不懂他的原理… 01/03 11:57
→ roea68roea68: 客服說這是我的帳號我驗證器丟了 客服幫你回復 就 01/03 11:58
→ roea68roea68: 破解了 01/03 11:58
推 sokayha: 假官網se的很多 就官網網址後面多些有的沒的騙你登入 01/03 11:58
→ none049: 鎖這種東西一旦設計到一個難度之後,想破解的那方會直接 01/03 11:59
→ none049: 思考如何繞過去不是破解它 01/03 11:59
→ midas82539: 就假網址,騙你登入失敗要重新key帳密還有驗證碼 01/03 11:59
→ midas82539: 你OTP輸入後才發現怎麼又跳回上一頁就來不及了 01/03 12:00
推 Lhmstu: 最大的破綻就是人 01/03 12:00
→ vivianqq30: 真實案例就橘子啊 有人弄一個假登入頁面 網址類似 畫 01/03 12:00
→ vivianqq30: 面照搬原來的 然後你輸入帳密什麼的就跳回原官網登入 01/03 12:00
→ vivianqq30: 頁面 不知道的人還會以為是網路有問題 然後帳密就被端 01/03 12:00
→ vivianqq30: 走了 01/03 12:00
推 weltschmerz: 任何完美的設計 只要有人用 那就是不完美 01/03 12:01
→ bnn: 假官網隨便ptt或巴哈貼個縮址連結就可以騙到人輸入帳密啦 01/03 12:02
→ ssccg: 社交工程下去什麼機制都沒用啊 01/03 12:03
→ ssccg: 自己帳密交出去自己幫人登了還能怎麼救 01/03 12:03
推 Ariadust: 不要小看人類愚蠢的程度 01/03 12:06
推 cvspka02953: 有啊 你自己交出去就是一個方法 01/03 12:06
推 WLR: 之前有駭客直接進公司群組,問其他員工公司的帳號密碼 01/03 12:07
推 HydraGG: 2FA目前應該算很安全吧 01/03 12:11
→ h22447h: 第一次登入都要插進去USB或是NFC感應 01/03 12:13
推 benny614017: 二次驗證我改用微軟了 01/03 12:15
→ sezna: 用MS的 不用google 01/03 12:15
推 zelda123: 你能破解OTP保證能上一級期刊發表論文 01/03 12:17
→ lay10521: 應該不會被破解 01/03 12:17
→ lay10521: 因為走其他方法更簡單== 01/03 12:17
→ oread168: 這就類似實體的,只是綁手機。換手機沒轉移不能用 01/03 12:18
→ oread168: 很多人換手機都以為登同帳號就能用還沒轉移就把舊手機 01/03 12:18
→ oread168: 處理掉 01/03 12:18
→ issoap: 用otp被盜幾乎都是有認證過的裝置被入侵 otp認證也沒用 01/03 12:23
→ linzero: 木馬應該可以針對特定機制的帳密認證 01/03 12:30
推 Klauhal: 不如騙對方輸入OTP驗證碼取得取得權限還比較快 01/03 12:31
推 milkool: 不用破解 直接騙你最快 01/03 12:34
推 fidic1643: ff14還是用一下吧 雖然國際服沒看過 但對岸服真的有人 01/03 12:35
→ fidic1643: 被偷家 01/03 12:35
→ hduek153: 正面破解難度很高 通常都想辦法直接取得認證 01/03 12:35
→ spfy: 現在沒人硬破這個 都是用社交工程 yoyodiy很熟的繞過去 01/03 12:39
→ linzero: 現在加密等技術難度,要暴力硬破得用量子電腦那種方式 01/03 12:41
推 abc21086999: 微軟的可以雲端備份比較方便 01/03 12:44
推 slowsoul1998: MS的可以備份真的方便多了 01/03 12:47
推 wulouise: 算可以的吧,連雲端同步都沒有漏洞少很多 01/03 12:47
→ cat05joy: OTP很多間都有 有的公司還會用專屬的 01/03 12:54
→ cat05joy: 是有看過有人號稱有用還被盜 但對方也沒多給資訊 01/03 12:54
推 Koyomiiii: 釣魚和木馬 01/03 12:55
→ Koyomiiii: 比暴力破解實際多了 01/03 12:55
→ KJC1004: TOTP暴力破解不現實 都是用釣魚或木馬去偷 01/03 13:00
→ bloodsea: 之前拳頭有假官網啊,我就被盜了 01/03 13:00
推 george40516: 系統最大的漏洞就是使用者ㄧuㄧ 01/03 13:01
→ KJC1004: 但這已經是使用者的問題了和TOTP安全性無關 加密機制沒辦 01/03 13:01
→ KJC1004: 法防止智障自己洩漏機密 01/03 13:01
推 tw15: 很完美沒用因為是人在用== 01/03 13:10
→ lomorobin: 暴力解不如直接騙還比較快 01/03 13:45
推 harryzx0: 中木馬就會 01/03 15:38
推 tcancer: Enigma起碼還給圖靈一天時間解算攻破 google OTP只給30秒 01/03 15:41
推 hh123yaya: 被盜的問題多數不是加密被破解 所以加密本身肯定是安全 01/03 16:05
推 joewang85: 你30秒內能破解的話保證上期刊論文了 01/03 16:51
推 Boris945: ff14otp送一個無cd免費爐石挺不錯的 01/03 17:18
推 liugs963: Ff14 也可以綁google 的啊 01/03 17:47
推 now99: 演算法都走 OATH TOTP 被破解很簡單吧,最好改 OCRA 演算法 01/03 22:40