Re: [閒聊] 不為人知的工程師內幕
※ 引述《KyrieIrving1 (King of Dallas)》之銘言:
: 不為人知的工程師內幕
: https://i.imgur.com/8IQl4hC.jpg
: 乾我真的看不懂
: 有沒有工程師能解釋一下XD
不太懂這種設計的必要性
如果是要防機器人暴力破解
設定個密碼錯誤的CD時間就好
比方說密碼錯誤3次鎖1個小時之類的
搭配基本的密碼複雜度要求
應該已經足以擋掉99.99%的暴力破解了
你讓一般正常使用者輸入正確的密碼還騙他說是錯的
這完全是整人啊
話說現在密碼複雜度要求有越來越矯枉過正的感覺
密碼複雜度最扯的有看過要求
12碼以上+大寫字母+小寫字母+數字+特殊符號都要有
然後密碼可能每個月都要換
新換的密碼都不能和前5次相同之類的
造成不少人都會將密碼記在其他地方
反而增加了被盜的風險
--
只是梗圖 的確沒什麼必要性
搞半天結果直接從最源頭官方資料庫外洩出去
要搞成那樣為什麼不用OTP就好了...
這年頭能從資料庫找到密碼的就算沒被入侵也很危險
所以有人做了一個小遊戲諷刺現在密碼規則一直增加
相反吧?大小寫字母+數字+特殊符號都要有反而是
最容易被暴力破解的密碼類型中最不利人記住的
把好幾個常用英文單字組成一串全英文三十幾碼密碼可能比
12碼大小寫數字符號組合還難被暴力破解又更好記
或是直接OAuth把驗證使用者踢給Google去幹
要你根據規則調整你的密碼 規則越來越搞的
不過密碼好不好破是一回事,有點資安狀況是直接被繞過去
有的
我也覺得直接丟給reCAPTCAH擋機器人不是更快
$$$
其實的確有一派就是高度複雜的密碼並沒有太大意義,但各
網站允許的複雜度又不同才是麻煩,有些要求特殊符號,有
些則禁止特殊符號...
某方面算是給使用者一個錯覺說你都設那麼複雜的密碼了
一定不會被盜 但大部分被盜的情況其實跟密碼被猜到沒
什麼關係
那個寫法真的寫下去,會被使用者罵死
nist都不要求密碼過於複雜 比較注重多因子和已知
弱密碼的使用 台灣那麼愛抄美國 這個卻不抄
甚麼狗屎密碼規則為什麼搞得這麼複雜,有沒有幫助不知道
,但根本原因只有一個"阿合約上就這樣寫",笑死工程師又
不是吃飽太閒
所以圖裡說了啊 "你有病吧"
所有我都用馬眼紋認證,具獨特性,單一性非本人難以辨識
,安全層級最高
你以為為什麼合約會這樣寫
因為智障長官覺得有用阿XD
因為智障長官覺得有用+1
又不是第一次看長官亂指揮把事情搞糟了
以為的資安風險:駭客突破保護機制盜取資料
真正的資安風險:點擊連結就送百萬美元
現在駭客都用後面掃描和木馬側錄了,暴力破解太容易被擋
住
有專家說過無意義增加複雜性&時限 人們只會每次改一點
P@ssw0rd1 P@ssw0rd2 P@ssw0rd3 不會變安全
其實不用專家背書 我家人就是這樣 每三個月數字+1
7
原文恕刪 先講結論,基本上你能想到的增加自己麻煩的反人類的機制, 幾乎都無助於強化密碼安全。 至於細節,若要講怎麼設密碼來防止暴力踹密碼, 就必須了解是怎麼暴力踹密碼的。97
首Po不為人知的工程師內幕 0_o 乾我真的看不懂 有沒有工程師能解釋一下XD47
其實現在密碼要求的越來越複雜了。 以前-- 隨意輸入,最多可能就限你4個字以上。 現在-- 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。15
好奇想借串問一下二階段認證是有什麼嚴重的缺點嗎? 因為工作的關係,會需要一些大公司平台的帳號 但這些平台有用二階段認證的非常少 基本上還是定期換密碼+新密碼不得用前幾次相同+失敗數次後一段時間內不能登入 但問題是每個平台要求更換密碼的週期的不一樣10
確實越來越多網站密碼要求越來越複雜,沒多久又要換一次 甚至有人做了一個遊戲來調侃 回到正題 密碼管理的話我會推薦使用bitwarden之類的密碼管理器去存4
15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間 最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困 擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當 時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放
18
Fw: [心得] 一組密碼+md5=不會共用的萬用密碼作者: hn880265 ( ) 看板: Bank_Service 標題: [心得] 一組密碼+md5=不會共用的萬用密碼 時間: Mon May 31 21:27:40 2021 最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到16
[閒聊] 有解謎遊戲會婊暴力破解的玩家嗎?餓死抬頭 遊戲中的解謎成分比如說數字密碼鎖好了 通常都是探索中會找得到能夠推敲出密碼的線索 比較簡單的就是直接給個紙條告訴玩家密碼 不過有些玩家會偷看攻略 或者找到部分線索之後就進行窮舉法之類的方式暴力破解3
[問卦] ptt密碼最長可以幾碼?是這樣啦, ptt公告說請改密碼,免得被盜, 可是我查了一下, 有人說密碼最長可以8碼, 可是我目前的密碼是9碼,7
Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固5
[問卦] 臉書怎麼了?一直說我密碼錯誤 但我密碼都存在自己的密碼資料庫裡面 還是30碼隨機產生的英文數字 然後密碼資料庫還要有實體金鑰才能解密 而且登入臉書也需要實體金鑰才能登入4
[心得] 一組密碼+md5=不會共用的萬用密碼最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到 被木馬側錄到其中一組其他共用的要改掉就很麻煩 就想到配合md5雜湊值來產生密碼 例如要產生12碼英數大小寫(以下舉例 不用照搬)1
[問卦] 台灣的資安是不是都偏爛以系統層面來講 用露天當例子 他這個登入系統 本身密碼就不支援特殊符號 只能用英數字等最容易破解的字元 隔壁棚的pchome也只支持英數字和底線2
[問題] 富邦無卡提款 密碼錯誤請問大家最近有在台新ATM使用富邦無卡提款, 密碼輸入正確,卻又無法提款的嗎? 原本以為是台新ATM按鍵連點, 但在一個數字一個數字的慢慢按,還確認了密碼字數,沒多也沒少的情況下,都是密碼 錯誤無法提款...1
Re: [問卦] 這年頭帳號密碼到底怎麼記?密碼其實可以這樣設 例如批踢踢密碼 ptt520 雅虎密碼 yahoo520 建議大家很重要的網站 密碼最好不要只有數字
爆
[情報] 星街 日本武道館 Live開催決定爆
[推投] 偶像大師本家765 最喜歡女角「2票」爆
[Vtub] 星街すいせい武道館開催決定89
Re: [閒聊] 知名實況主 Asmongold 因歧視炎上中86
[討論] 鬼滅柱展失控的中國轉賣亂象84
[慶生] 今天是高捷少女司機員 艾米莉亞的生日!67
Re: [閒聊] FF16,pc版本只賣出28.9萬份51
[情報] 我推完結後赤坂萬字訪談懶人包65
[閒聊] 我想成為影之強者 動畫瘋破千萬觀看28
[閒聊] 橫槍老師是否開始和赤坂有嫌隙了?47
[閒聊] 陰陽眼見子 防AI水印(慎入)38
[閒聊] 鬼滅咒術我推要怎麼排名46
[鳴潮] 椿第一波營收45
[Holo] 星街彗星Live新衣裝大家給幾分83
[問題] 二手書店的漫畫能收嗎?41
[閒聊] 現在的你,收到PSP還會開心嗎?43
Re: [Vtub] 虎鯨出道爭議有比F團隊長嚴重嗎?爆
[閒聊] FF16,pc版本只賣出28.9萬份41
[閒聊] 烙印最後用握手和好結局可嗎?38
[情報] Metal Build 鋼彈00Q全刃式 新裝備37
[閒聊] 亂馬1/2的看板娘是女亂馬還是珊璞☺爆
[推投] 請問你是電腦派或是主機派?32
[閒聊] 戰敗逃跑的魔法少女35
[閒聊] PTCGP歐了一次28
[鳴潮] 小保都不歪有多猛31
[情報] 天穗之咲稻姬 新情報預告31
[魔物] 都是獵人,不要分的那麼細30
[奶子] 隱巨乳67
[閒聊] 吉田直樹現在算甚麼等級的製作人29
Re: [閒聊] 我想成為影之強者 動畫瘋破千萬觀看