Re: [閒聊] 不為人知的工程師內幕
※ 引述《KyrieIrving1 (King of Dallas)》之銘言:
: 不為人知的工程師內幕
: https://i.imgur.com/8IQl4hC.jpg
: 乾我真的看不懂
: 有沒有工程師能解釋一下XD
好奇想借串問一下二階段認證是有什麼嚴重的缺點嗎?
因為工作的關係,會需要一些大公司平台的帳號
但這些平台有用二階段認證的非常少
基本上還是定期換密碼+新密碼不得用前幾次相同+失敗數次後一段時間內不能登入
但問題是每個平台要求更換密碼的週期的不一樣
例如A平台要求45天換一次,B平台180天,C平台90天
就算一開始都用一樣的密碼,光一年過去就會變很多組,而且每個平台的都不一樣
過去越久,只會更亂,到最後只能靠瀏覽器的密碼記錄功能自動填寫,不然真的是記不住密碼安全性最後變成是在看你的瀏覽器可不可靠
不過看MIS三不五時在發公告說近期瀏覽器發生高風險安全漏洞,要員工更新瀏覽器的版本
而且要求要更新的瀏覽器還不只一家,所以對於瀏覽器的可靠度我會打問號
有使用二階段認證的平台雖然登入時要多花點時間,但密碼基本上一年改一次就好,不會有記不住的問題
所以我才會想知道二階段認證是有什麼重大缺失才會讓一堆平台寧願用不方便的方法,而不去用它嗎?
-----
Sent from MeowPtt on my iPhone
--
至少那應該要簽約合作吧
應該是要簽合作或開發相關APP沒錯
麻煩 對2邊來說都是
當你出國發現綁手機二階段認證的帳號全部廢掉就不想用了
改密碼不用錢,加認證要錢
OTP主要就是需要修改AP端要花錢,TOTP大家都在用隨便一個
驗證app都能導入
簡單啊,你就每45天全平台都換密碼
$$$ 改程式要錢還要時間
$ 然後二階認證的地方被破一樣怪你頭上
我覺得最容易的方法還是網站用寄密碼的方式登入 例如你
有A信箱跟B信箱 當初註冊的時候使用A信箱註冊 然後要求
二階段認證的問題就是麻煩
網站把登入密碼寄到B信箱 這樣你每次在使用A信箱登入時
不是每個人都能操作OTP,不會的比例比你想像中的還高
只要去B信箱領取密碼登入就好
上面那個就Steam有的啊,登入後要再開第三方信箱輸入驗
證碼
Passkey 無密碼驗證才是未來 比用密碼二階更安全方便
密碼之所以不寄到A信箱 是因為登入帳號如果跟A信箱相同
的話 駭客就知道要去哪裡找你的密碼
但雙信箱驗證這也是資安增加人員困擾...
居然要先有兩個信箱嗎(
我的任天堂NS帳號曾經啟動二階段認證,然後二階段只有
手機app認證。某天手機突然掛掉,我再也無法登入。後來
寫信給客服,請他取消。
otp請使用有同步功能的驗證軟體w
以前登入接口直接連google 丟給google做
我的任天堂帳號設passkey了
以前想說可以綁FB登入,少管一組密碼;殊不知這才是災難的開
始,FB登入三不五時壞掉……我是在說bookwalker,好險後面可
以搬遷帳號
不要讓你的手機掌管你的everything
除非你那支手機是不會壞也不會遺失的
所謂的更安全方便有時候只是風險轉嫁而已
常用的不要榜第三方 第三方登入就是兩邊壞一邊你都不能用
公司的帳號要綁手機時綁個人的不安全,綁公司的又要一人
一支手機
在美國是郊區手機訊號收不到
錢、網路
開發要成本,用別人的要付錢
7
原文恕刪 先講結論,基本上你能想到的增加自己麻煩的反人類的機制, 幾乎都無助於強化密碼安全。 至於細節,若要講怎麼設密碼來防止暴力踹密碼, 就必須了解是怎麼暴力踹密碼的。97
首Po不為人知的工程師內幕 0_o 乾我真的看不懂 有沒有工程師能解釋一下XD8
不太懂這種設計的必要性 如果是要防機器人暴力破解 設定個密碼錯誤的CD時間就好 比方說密碼錯誤3次鎖1個小時之類的 搭配基本的密碼複雜度要求47
其實現在密碼要求的越來越複雜了。 以前-- 隨意輸入,最多可能就限你4個字以上。 現在-- 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。10
確實越來越多網站密碼要求越來越複雜,沒多久又要換一次 甚至有人做了一個遊戲來調侃 回到正題 密碼管理的話我會推薦使用bitwarden之類的密碼管理器去存4
15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間 最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困 擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當 時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放
62
[心得] 2021來自app store最全面擋廣告分享取之批踢踢,就回饋於批踢踢 先聲明以下所有程式都是來自蘋果官方app store 亦即通過蘋果在智財權與安全性的審查 因此既合法也不違反板規 在使用合法正版軟體下39
[情報] 請投資人務必於111/1/22前更新電子平台登應該是上次元大事件 大家記得去更改密碼 不然股災來臨時要登入跑路 慢一步吃個跌停就不好了 這個應該是政府集體要求所有券商 不一定只有台新有 各間記得都去檢查一下 1. 標題: 【台新證券】因應主管機關要求,請投資人務必於111/1/22前更新電子平台登入密碼。27
[情報] KOKO App 5.0今天通知KOKO App 5.0更新,最重要的應該是這個功能: 升級代號密碼,暢行國泰世華銀行三大平台 太多組代號密碼頭好痛,傻傻分不清楚? 即日起提供無痛升級代號密碼服務嘍! 升級完成後即可使用同一組代號密碼登入KOKO與國泰世華網銀APP/網銀任一平台,5
[情報] Apple在Windows iCloud推出密碼管理功能windows-microsofts-edge.html Apple在近日更新了Windows 版本的iCloud,同時也新增了iCloud鑰匙圈的密碼管理功能。 讓使用者可以直接在PC上編輯iCloud鑰匙圈的內容,同時也推出Edge和Chrome的瀏覽器套3
[iAPP] Microsoft Authenticator 驗證及密碼自填軟體名稱:Microsoft Authenticator 軟體分類:在「生產力工具」類中排名第 34 軟體連結: 安裝方式:App Store 適用韌體:需要 iOS 11.0 或以上版本。1
[問題] 帳號被盜登問題各位大大晚安 今天阿肥我把帳號連結到Riot帳號 東南亞服的 結果晚上收到了幾封Riot二階段認證的郵件 重點是我根本沒登入 Garena跟Riot的密碼我也設不一樣的1
Re: [問卦] steam被盜了霸脫 資訊安全了解一下 二階段都沒開 我猜你的密碼安全也不怎麼樣 很多人都一套密碼打天下1
Re: [新聞] 巴哈姆特女版主遭惡整!蝦皮帳戶被綁、手機停話 仇家認這其實是一件很可怕的事情 很多網站沒有二階段認證甚至封鎖嘗試錯誤登入的功能 所以才會讓這貨有機會嘗試一萬多次並且成功 印象中好像只有銀行或證券有錯誤三次會封鎖登入的設定 如果你用手機門號當一些網站的帳號,然後個資外流- 半年沒登入momo買東西 剛登入時,出現 "momo會員您好:您的會員帳號需要重新認證,若要登入請洽客服0800-777-686,謝謝。" 然後打電話問客服 回答我是因為瀏覽器問題,要我用其他瀏覽器登入看看
- 為什麼盜帳號抓不完? 去比較其他平台登入安全機制就知道為什麼 其他平台登入一堆安全機制,例如登入會收到EMAIL通知 密碼錯誤幾次會鎖時間後才能再登入,錯誤越多次鎖的時間越長 密碼強制使用者定期更改,手機簡訊認證登入,很多都是平台可以做的 但ptt是不營利的,這就無解了,所以只能被動消極的等收到檢警通知註冊者或站方
爆
[情報] 膽大黨 07 LO/原畫公開爆
[鳴潮] 壞女人快把我吸乾了77
Re: [閒聊] 知名實況主 Asmongold 因歧視炎上中70
[24秋] 膽大黨 07 神回 最棒的動畫化QQ63
Re: [閒聊] 川普當選會減緩DEI浪潮的狂奔嗎?63
[閒聊] 0~9選擇你的女僕52
Re: [Vtub] 星街すいせい武道館開催決定48
[閒聊] 作了AI圖靈測試 來玩看看分不分的出吧50
[24秋] 膽大黨07 猝不及防50
[情報] 天穗之咲稻姬 動畫續篇決定!35
[閒聊] 是誰造就了我推的出圈37
[閒聊] 日玩具商舉辦「切腹演技比賽」惹議中止35
[閒聊] 原來你是女的?35
[閒聊] 反逆的魯魯修 超王騎神!魯魯修朱雀合體35
[Vtub] Kobo 發生什麼事情了?31
[閒聊] 《獵人》強化系是不是真的挺作弊的?32
[24秋] 地錯 五期 07 暈船阿姨28
[閒聊] 妮姬入坑兩個禮拜心得(18-30)26
[閒聊] 會因為劇情很爛真心怨恨作者嗎27
[24秋] 在地下城尋求邂逅(略) 五期 0727
[Vtub] Cecilia的潛力是無限的18
[情報] PS5 Pro 日本首週銷量 7.8 萬26
[問題] 阿綱守護者強度排名怎麼排33
[閒聊] 明天X訓練AI的政策即將開始24
[閒聊] 戀上換裝娃娃11123
[情報] 我推的孩子 累積發行部數 2000萬 突破23
[閒聊] 在你眼中,這是人還是狗?22
[閒聊] Falcom財報:軌跡在歐美取得成功 亞洲大減21
Re: [Vtub] 星街すいせい武道館開催決定21
[討論] PTCG 活動45勝心得