PTT評價

[閒聊] 不為人知的工程師內幕

看板C_Chat標題[閒聊] 不為人知的工程師內幕作者
KyrieIrving1
(King of Dallas)
時間推噓97 推:101 噓:4 →:140

不為人知的工程師內幕

https://i.imgur.com/8IQl4hC.jpg



0_o

乾我真的看不懂

有沒有工程師能解釋一下XD

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.214.154 (臺灣)
PTT 網址

Giornno03/13 10:17為什麼密碼對了和第一次登入是帳號或密碼錯誤啊

AVideoIsTrue03/13 10:17就是你第一次帳號密碼打對了,還是會跟你說登入錯

AVideoIsTrue03/13 10:17誤,要你再試一次

s750322803/13 10:17你第一次登入的時候不管你密碼打對還是打錯都給你錯誤

s750322803/13 10:17這是某種防盜機制 避免你用機器人洗密碼測試

s750322803/13 10:18因為你第一次錯誤了 機器人就會當作這密碼不能用 跳過這

s750322803/13 10:18一組

BSpowerx03/13 10:18你有沒有遇過那種明明輸入過跟你講錯,試了好幾個密碼繞

BSpowerx03/13 10:18一圈又回到一開始的密碼就正確了的狀況

laigeorge8903/13 10:18插USB孔的概念

s750322803/13 10:18很爛 使用體驗也很糟 但對防盜而言很實用XD

AVideoIsTrue03/13 10:19以前有個故事是,會故意第一次阻擋你登入,然後檢

AVideoIsTrue03/13 10:19查第二次輸入的資訊跟第一次對不對,判斷你是不是

AVideoIsTrue03/13 10:19真的記得帳號密碼

SangoGO03/13 10:19防止暴力破解密碼,但使用者會懷疑人生的設計

b32501903/13 10:20防暴力破解有用但是很靠北

SangoGO03/13 10:20暴力破解密碼:密碼有100,000種可能,那就試100,000次

ymsc3010203/13 10:20然後再多加個失敗三次鎖定N時間對吧

Giornno03/13 10:21原來如此

sorochis03/13 10:21圖片上面有寫啊,防止暴力破解

wu1991100903/13 10:21對機器人有用,但但我很不友善

marx9352103/13 10:21就有效但使用者體驗極差的設計

Giornno03/13 10:21靠腰,我已經養成不太看註解的習慣了...

sorochis03/13 10:21假設機器人設定四位數數字密碼,他會從0000~9999每次+1

SangoGO03/13 10:22類似的機制還有三次錯誤就冷卻15分,期間不管怎麼試就算

SangoGO03/13 10:22是試到正確的也跳密碼錯

sorochis03/13 10:22去嘗試,如果你密碼是1111,那機器人從1110失敗後會+1變

sorochis03/13 10:221111,然後雖然密碼對了但是是初次登入,所以還是會失敗

sorochis03/13 10:23這時機器人就會+1嘗試1112,但1111就永遠不會再試了

henry123456203/13 10:23如果是錯三次會鎖住的 這種設計就是搞人

henry123456203/13 10:24因為每個地方密碼要求不同 用的就可能好幾組

SangoGO03/13 10:24但資安就是防盜優先便利性就是了

henry123456203/13 10:24我試第一次錯了我會以為我用的是別組去試別組

henry123456203/13 10:24所以你要搞這套你密碼就不要要求一堆

leo25511203/13 10:24我怎麼覺得這應該會有效,持有者會很問號而已XD

o0760803/13 10:24安全和便利一向是互斥的,沒辦法

SangoGO03/13 10:24儘管資安永遠是人最不安全(

XFarter03/13 10:25只能說很有效的防止了機器人的 Brute-force,但會讓使用

XFarter03/13 10:25者想對開發者 Brute-force

henry123456203/13 10:25什麼英文也有大小寫 要有特殊符號的都是搞人

kuma556603/13 10:25幾種密碼換著用的人會很幹

wu1991100903/13 10:25特別是又要你定期換密碼的,遇上這個真的會懷疑人生

lbowlbow03/13 10:25就是你常常第一次登入都覺得沒按對的原因啊wwww

Gcobs13027503/13 10:25這圖超久

marx9352103/13 10:25所以這確實對於暴力解法有效果 但使用者體驗會很差

SangoGO03/13 10:26其實這張圖還有個重點,這個機制是秘密的,因為如果突出

SangoGO03/13 10:26的訊息是能分辨,那就無法防止機器人了

henry123456203/13 10:26你要防暴力破解 你就不要對密碼有任何設定限制

o0760803/13 10:26現在低標大都要求大小寫+數字了吧

akway03/13 10:26結果搞到鎖密碼 那才好笑

lbowlbow03/13 10:26但除非機器人第一次就打對,不然還是沒用吧

lightdogs03/13 10:27這個真的會讓使用者體驗很差

cor1os03/13 10:27資安最大的問題就是人,然而狗官為了彰顯自己不同都想辦法

henry123456203/13 10:27還有地方密碼不給升冪降冪的 有病

b32501903/13 10:27現在真正靠北的反而是只能大小寫+數字不能用符號的反而要

b32501903/13 10:27另外想密碼

SangoGO03/13 10:27不是,這個機器人必須設計成,單一密碼要試2次才行

cor1os03/13 10:27把自己放例外,如果不能從上而下確實落實,那資安都是屁

starsheep01303/13 10:27「如果密碼正確,而且是第一次嘗試登入,回應密碼

starsheep01303/13 10:27輸入錯誤」

henry123456203/13 10:27我就很討厭要求大小寫啊 要求數字我就算了

devilhades03/13 10:27很討厭但很有用

cor1os03/13 10:27任何事情都一樣,上樑不正下樑一定歪

henry123456203/13 10:28要求大小寫變成我要記得哪些地方的密碼要大小寫

SangoGO03/13 10:28像上面那個0000-9999的案例,機器人必須連打兩次1111

SangoGO03/13 10:28才能登入成功,否則他的0000-9999全部失敗

devilhades03/13 10:28但有設錯誤上限的凍結時間就很好笑了

henry123456203/13 10:28每一次打的前兩組就是一個有分大小寫一個沒有

melzard03/13 10:28大小寫很有用但是很痛苦

YaLingYin03/13 10:29原來這招是為了防盜喔?!

rogerlarger03/13 10:29難怪沒錯都打錯

lightdogs03/13 10:29不過的確欸 如果只是第一次登入錯誤 其實防止暴力破解

lightdogs03/13 10:29的能力蠻有限的 應該要用不管什麼密碼第一次一定錯

henry123456203/13 10:29最好笑的是 整天說那些密碼最容易被破 啊我用最簡

henry123456203/13 10:29單的密碼都沒被破鍋 騙自己嗎

FertilizerN03/13 10:29搞使用者

thelittleone03/13 10:29最低標是大寫英數字,再來就特殊符號

thelittleone03/13 10:29然後是不能111 123 abc zxc

webermist03/13 10:30太噁心人了吧==

wedman03/13 10:30原來不是我記錯 真是謝謝喔

Nitricacid03/13 10:30其實現在一堆莫名奇妙的圖片防盜好像沒比這招好

b32501903/13 10:30如果是db外洩通常就是拿著帳號密碼表用機器人試一輪通常

b32501903/13 10:30錯了就直接換下一組了

henry123456203/13 10:30圖片防盜是要測你是不是機器人

b32501903/13 10:31現在AI訓練已經到辨識率比人工高了

leo25511203/13 10:31暴力破解是去嘗試所有可能啊,所以一組通常不會試兩次

o0760803/13 10:31安全機制這種東西不就是以防萬一嗎?

tonyxfg03/13 10:33這會連正常使用者都一起擋掉,因為即使這網站不設密碼限

henry123456203/13 10:33我可以理解資安的立場 但我是使用者我就是不爽被搞

CCNK03/13 10:33有效但 但心情會很糟

leo25511203/13 10:33所以這登入機制是你暴力破解中也當成錯的,就繼續下一

leo25511203/13 10:33組了,應該是可以防禦才對

tonyxfg03/13 10:33制,但其他網站有啊!而且每個網站的限制還不一樣,無法同

usoko03/13 10:33很噁心 但是這是用人性去攻擊機器人

henry123456203/13 10:33因為就是浪費我時間 增加我困擾

sorochis03/13 10:34你會設定機器人每組密碼都要連試兩次的話,工程師就會設

sorochis03/13 10:34三次

tonyxfg03/13 10:34密碼走天下,所以輸入錯誤也只會讓使用者換下個密碼,然

tonyxfg03/13 10:34後就鬼打牆了

cloki03/13 10:34搞機器人這招真的有用可是有夠噁心人w

ychsin03/13 10:35這不就是標準的:懲罰合法使用者嗎?

starsheep01303/13 10:35使用者輸入正確密碼要被連擋三次,這網站應該會倒

lightdogs03/13 10:35設三次大概會被負評灌爆吧

starsheep01303/13 10:35你還是換個資安方案吧

l202213467903/13 10:36啊為什麼有病

b32501903/13 10:36這招只能用一次,需要加到第二次就該換方法了,不然就跟

b32501903/13 10:36現在的圖形辨識一樣在懲罰使用者

ymsc3010203/13 10:36再配上要求定期換密碼+不能用和最近N次相同的密碼

The4sakenOne03/13 10:37我要吐了 這三小

haoboo03/13 10:38最安全的還是兩階段驗證吧

gura952703/13 10:38還要大小寫英數字及至少一個特殊符號

cor1os03/13 10:38兩階段驗證對那種需要共用登入的也很麻煩就是wwww

cor1os03/13 10:38就一個系統需要很多人來維運的

cor1os03/13 10:39名義上很多人join但實際上只有小貓2隻會管

hh123yaya03/13 10:40多人維護的也很多用二階段阿 加入時資安提供token就好

lightdogs03/13 10:40共用登入要安全通常都是一定時間內產生一組隨機密碼吧

lightdogs03/13 10:40 有權限的才能看到這密碼

b32501903/13 10:412fa不是綁帳號嗎正常應該是每個人的都不一樣

SangoGO03/13 10:41圖形認證也是防機器+搞人,但就是資安VS便利性

SangoGO03/13 10:42其實也有設計法是錯誤3次以上時才要求圖像驗證

b32501903/13 10:43現在圖形辨識已經沒用了因為AI辨識率更高所以又化繁為簡

b32501903/13 10:43改成用簡單的圖形辨識從行為判斷是不是人工

leo25511203/13 10:44因為你擁有者要打兩次密碼才能登入吧XD

j14758903/13 10:46不是啊 你知道這招的話你讓機器人每個密碼試兩次就可以了

j14758903/13 10:46

f05137203/13 10:48我覺得google有實裝這個東西 要強迫使用者換密碼

Rothax03/13 10:48旁邊的一個把頭髮扯爛 一個瞬間白髮XD

iamoldtwo03/13 10:48要打對二次密碼

jeremy798603/13 10:50懲罰正常使用者啊w

dnek03/13 10:52幹還有這種功能

bnn03/13 10:53確實有用XD

chang1248w03/13 10:54超壞

ageminis03/13 10:54蘋果的 iTunes 登入就要打兩次密碼,不過第一次打對並沒

ageminis03/13 10:54有跳錯誤訊息,而是同樣提問視窗要輸入密碼

mrme94503/13 10:56那我不自己記密碼,都用密碼管理怎麼辦

storyo1141303/13 10:56幹 這有病 當我打個長串密碼結果是錯的 會崩潰

vivianqq3003/13 10:57這種再配上次數限制才是蝦仁豬心

storyo1141303/13 10:57加上有些使用者已經被養成錯三次密碼帳號就會被鎖

Blazeleo81903/13 10:58跳錯誤我會以為自己記錯,根本搞人= =

hasroten03/13 10:58防暴力破解但有用

Alcatraz66603/13 10:59原來不是我手殘啊(X

kuyuzu03/13 10:59太有道理了 我也真是謝謝你

togs03/13 11:00有點白癡但防盜應該有用XD

delmonika03/13 11:02簡單的防盜

graywater03/13 11:02https://i.imgur.com/F0vUrld.jpg

s603141703/13 11:04那機器人只要每組試兩次不就好了0.0

allanbrook03/13 11:05真的有人這樣做喔?

allanbrook03/13 11:05害我以為自己打錯

Tsucomi6903/13 11:06不是都用雙重機制了嗎?

Murasaki011003/13 11:06有用個屁啊,就會去試別的直到最後被鎖

Tsucomi6903/13 11:07知道規則就沒用了

BeTheFree03/13 11:07??那有用網頁記憶密碼的怎辦?這樣還錯,不就會讓人發

BeTheFree03/13 11:07現第一次一定錯誤了嗎?

siro020703/13 11:09這很容易破解吧 駭客只要自己也有個帳號 然後去嘗試該網

siro020703/13 11:09站是不是有用這個機制 接著就能把機器人設定試二次就好

siro020703/13 11:10終究還是二階段認證比較實用

sky001tp03/13 11:11相當反人性但對資安有用

qoo6060603/13 11:11太狠了

Soulimana03/13 11:12如果網站可以個別設定要不要啟用這機制 就不好破解了

RoChing03/13 11:15機器人也可以進步的啊,未來變成機器人學會試十次人類只

RoChing03/13 11:15好都輸入十一次?然而人類會被煩死機器人不會

jpadesky03/13 11:17防機器人用

haudoing03/13 11:19感謝4樓解釋,我一直不懂有個常用的網站為什麼會這樣,

haudoing03/13 11:19現在突然覺得很合理了

Jinkela03/13 11:19喔我學校郵件的帳號也是這樣

miyazakisun203/13 11:24我幹你娘 登入公司系統WiFi每次都跟我說密碼錯誤

miyazakisun203/13 11:24還要重開機一次的原因是這喔

qize142803/13 11:24最低能的是有些要求一定要特殊符號有些又不能有特

qize142803/13 11:24殊符號,不能統一一下嗎?

gn048191403/13 11:26媽的看到就有氣 我的密碼自己都有筆記本紀錄,但今天早

gn048191403/13 11:26上微軟就跟我說我密碼錯誤硬要我重設。

tim520131403/13 11:27這東西前提是駭客沒用這個網站吧 不然每次登入第一次

tim520131403/13 11:27都被擋一定會發現

goldfun03/13 11:32對我這種有三四種密碼在換的人有夠不友善,這樣我只會想

goldfun03/13 11:32不起來用哪組

mumeisuki03/13 11:35感覺蠻有用的欸 但一定被靠北

siro020703/13 11:40可以個別設定要不要啟用這機制? 這沒差啊 駭客看設定知

siro020703/13 11:40道有沒有這機制後 結果還是一樣 反正就讓機器人嘗試2次

siro020703/13 11:41然後沒開啟這機制的用戶 還不是一樣第一次嘗試就能進

idieh03/13 11:53就算今天本人在輸,不知道這件事的情況看到跳錯誤也不一定

idieh03/13 11:53會直接重輸一次,可能懷疑自己組合哪裡記錯改輸不一樣的啊

idieh03/13 11:53,那不就反而過不了...

xoxoxxoo1403/13 12:00我會以為我用別組密碼 最後試到懷疑人生

moon999tw03/13 12:06這邏輯沒問題 哈

abd8673103/13 12:08這個應該會設計成初次輸入對的不計入登入失敗吧?

abd8673103/13 12:09不然信箱一堆登入失敗的信誰受得了

zz300003/13 12:11金價五擊敗!!

naya741596303/13 12:21等等這機制是真實存在的嗎?!

inte629l03/13 12:24幹太靠北了吧

rahit03/13 12:31用我不是機器人不就好了

WWIII03/13 12:31這個好吧

peterturtle03/13 12:32這個機制根本只會擴大資安漏洞,因為使用者收不到正

peterturtle03/13 12:32回饋就會記憶混亂,記憶混亂就會貼便條紙記帳密,最

peterturtle03/13 12:32後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所

peterturtle03/13 12:32有反人類的管制機制最終都只會傷害資安

peterturtle03/13 12:34以月為單位頻繁更換密碼同理

apple12377303/13 12:34太靠北了

nacoojohn03/13 12:39水喔

paxetin03/13 12:41擊敗有用 但有更好的方法

awenracious03/13 12:46這個弱掃應該就不會過了

bemoan03/13 12:55機器人可以從世界各地猜密碼,便條紙只有身邊的人挖得到

bemoan03/13 12:56確實能強化資安,結案。

EEEEEEEnd1403/13 12:58真的是brute-force 就是會收到大量檢舉

e5a1t2003/13 13:01知道要打2次就能破解了 有什麼用啊

e5a1t2003/13 13:02只是讓使用者懷疑人生

Dayton03/13 13:06因為暴力破解不會重複嘗試相同密碼

Dayton03/13 13:06但是記得密碼的人會

Faicha03/13 13:11我感覺我遇過..

iiKryptos03/13 13:13現在很多人的密碼都是長得差不多但些微的不一樣,遇到

iiKryptos03/13 13:13這個很容易就被鎖,哭啊

LabInfo03/13 13:20爛方法,在搞正常使用者

comedyc8c8c803/13 13:27真的有病 以為自己記錯密碼 各種大小寫繞一圈到最後

comedyc8c8c803/13 13:27發覺還是本來的密碼 尼瑪德

Soulimana03/13 13:30你那機器人哪知道誰沒開啟這機制啊? 當然有差啊...

Soulimana03/13 13:30你是以為第一次就能駭進去了是不是....

Soulimana03/13 13:31你的機器人第一次試錯了 要怎麼知道機制有開還沒開?

Soulimana03/13 13:32你說試兩次 你這兩次的時間要多久?

feedingdream03/13 13:32不看推文還以為這只是一個笑話 居然真的拿來連一般

feedingdream03/13 13:32使用者都擋? 難怪Adobe和微軟每次忘記密碼重設都

feedingdream03/13 13:32說我不能用當前的密碼 幹他媽的垃圾公司

terry1236903/13 13:33爛方法沒錯,靠盃我密碼好幾組,看到錯誤我一定是換

terry1236903/13 13:33一個密碼試==

linzero03/13 13:37第一次一定錯太明顯了,要加個亂數

gary82gary03/13 13:46超智障,什麼年代還在暴力破解,擋到的只有人而已,大

gary82gary03/13 13:46小寫符號只是增加忘記密碼的使用頻率

siro020703/13 13:47上面就說不用管使用者有沒有開啊 只要知道有這機制就夠

gary82gary03/13 13:48重新改密碼還顯示不能跟舊密碼相同真的超哭

siro020703/13 13:48了 知道後不管誰都嘗試兩次:1.使用者沒開 那機器人第一

siro020703/13 13:49次嘗試就登入了 根本不用再嘗試第二次 2.使用者有開 那

siro020703/13 13:49機器人第一次失敗 第二次就成功登入

siro020703/13 13:50這應該想像一下就懂了吧 所以才說根本沒差

c88tm03/13 13:59超機車www

oyaji556603/13 14:40google authenticator 就能解決的事情

frankexs03/13 15:25原來有這種機制喔

rlrbc03/13 15:33有啊…只是使用者會覺得體驗很差

asteea03/13 16:56嘗試2次成本就翻倍阿 雖然不該用這方法沒錯

johnny303/13 17:32第一次強制失敗 是人的話會懷疑是不是自己打錯再打一次

johnny303/13 17:32bot就直接放棄了

slowsoul199803/13 18:05現在都用app二階段驗證了 密碼什麼的隨便啦

sustto03/13 19:40擋機器人的

sustto03/13 19:41是說現在都2階認證惹

bitcch03/13 19:53沒有用的設計 防止暴破的方式主要是設重試上限

lzyamos9903203/13 22:18幹你娘

NAGORIYUKI03/14 01:02文盲

JSLee91403/14 13:33低能設計 如果我知道哪個網站這樣玩以後就不用了