PTT評價

Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

看板Lifeismoney標題Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用作者
gv390
(我討厭我喜歡妳)
時間推噓13 推:28 噓:15 →:313

風傳媒也報導了,數發部問過pchome
應該也是定調了,最少政府有注意到這個事件了就是
麻煩你們各位使用者,密碼不要都完全一樣啊

https://reurl.cc/adA6j3

立委關注民眾反映網購平台帳戶被盜用,個人儲值金遭用光。數發部今天表示,駭客採撞庫,蒐集已被公開揭露的個人資訊,到各家網站測試登入,業者已把用戶登出、重新登入驗證,呼籲民眾密碼應採多種驗證方式,避免被盜用。


立法院交通委員會今天邀數發部長黃彥男、國家通訊傳播委員會(NCC)代理主委翁柏宗、行政院打擊詐欺指揮中心、法務部、內政部警政署、金管會就「我國打詐成效與防制」進行專題報告,並備質詢。
Pchome被盜「用戶儲值金被用光」
民進黨立委李昆澤質詢時提到,最近有知名網路購物平台遭民眾質疑使用者資料庫被盜,民眾帳戶儲值金被用光,數發部是否有協助平台加強個資防護與因應。

數發部數位產業署副署長林俊秀表示,已經跟業者聯繫,駭客採用撞庫攻擊,在網站上蒐集已經被公開揭露的個人資訊,到各家網站測試,運用自動化技術可以大量測試,有些消費者可能在多個網站都使用同一組密碼,因此駭客很常有機會可以闖關登入成功。

Pchome緊急處理!數發部籲:多重驗證更安全
林俊秀會中受訪時指出,Pchome有發現這個狀況,目前業者是先把有使用儲值金者先登出,再請當事人重新登入、透過OTP(一次性動態密碼)再次驗證,再請當事人修改密碼,避免類似狀況發生。
黃彥男表示,相關狀況都有掌握,現在有很多技術可以防止密碼被盜用,民眾應該要啟用多因子驗證,除了密碼之外,還要啟動第二個、第三個驗證,像是簡訊等方式,才能避免類似狀況發生。
※ 引述《kadasaki (K~)》之銘言:
: 昨日晚間密集發生
: 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡
: 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券
: 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google
: 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼
: 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號,目前是0
: 所以比較疑似是備份的資料庫被盜
: 平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意: 儲值幾千上萬的都會被盯上,記得打開儲值使用驗證設定啟用
: PC這次疑似是整個資料庫外洩,連儲值金多寡都有,更不用說個資
: *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC,這樣PC至少要被撞幾百萬筆
: *但驗證了五個受害者六個帳號,其中有兩個PC跟MOMO密碼不同,有兩個蝦皮跟PC不同: PC還沒把這些點數型商品禁止使用儲值,請注意自己的信箱有沒有被登入紀錄或是
: 收到驗證碼紀錄
: PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制,但仍無法有效阻擋被登入
: 似乎舊版的登入頁面有漏洞不用二次驗證,或是COOKIE已經紀錄登入資訊。
: 推測PCHOME流出的資料不是目前最新的資料,而是幾個月前的資料庫,也許是備份的
: 資料庫,因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的: 帳號,許多目前儲值是0仍被嘗試登入,就表示是看幾個月前的儲值量去排序儲值登入: ----

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.203.216 (臺灣)
PTT 網址

dastinc 10/07 16:58數發部用了一堆沒資訊背景的地政職系公

dastinc 10/07 16:58務員 都不知道在幹嘛 笑死

trashcan0512 10/07 16:58有當過國策顧問的董事長真好 政府

trashcan0512 10/07 16:58都幫忙講話

acetylation 10/07 16:59數發部只能呼籲嗎?

stark5566 10/07 17:04連數發部都出來幫忙洗地

justbefriend 10/07 17:05不然數位部能幹嘛

Porops 10/07 17:07簡訊作為2FA根本就不是一個安全的選項,

Porops 10/07 17:07別再推行簡訊2FA了

HarukaLoveu 10/07 17:17所以為何只有PCHOME出事?結論是?

jimhall 10/07 17:17不用簡訊要用什麼

alan6999 10/07 17:17有政府好安心檢討受害者最會

lionel20002 10/07 17:21党幫忙洗地

kadasaki 10/07 17:23我可以接受是撞庫攻擊呀,但是誰的資料

kadasaki 10/07 17:24庫,是PCHOME資料庫撞PCHOME資料庫?

kadasaki 10/07 17:24是撞庫就不用調查嗎?

Porops 10/07 17:25就算以email做2FA都比簡訊安全,不用簡訊

Porops 10/07 17:25選項還有很多好嗎,透過Google Authentic

Porops 10/07 17:25ator就是一般網站都能做到又安全又方便的

Porops 10/07 17:252FA,也有很多網站如Steam的2FA會做在自

Porops 10/07 17:25己的APP上,google或facebook因為滲透率

Porops 10/07 17:25高所以可以採用直接按個是就登入成功那也

Porops 10/07 17:25是一種2FA,對於網家這種規模來說這只是

Porops 10/07 17:25要不要做而已,根本就是圖方便不做

sheng76314 10/07 17:25數發部是出國的

kadasaki 10/07 17:27能這樣撞PCHOME的資料庫的資料規模有多

kadasaki 10/07 17:28大,才是需要探討調查的

nisioisin 10/07 17:28前面有說一些人是只在PChome弄那組帳

nisioisin 10/07 17:28密,不知道哪的庫這麼厲害能撞到

kadasaki 10/07 17:30下次我偷吃被老婆抓我也說是撞庫好了

SSSONIC 10/07 17:33所以人抓到沒?

kadasaki 10/07 17:34在網站上蒐集已經被公開揭露的個人資訊

kadasaki 10/07 17:34你們各位是不是都把帳密刊在網路上?

Kingsman 10/07 17:44笑死,一樓專業喔,資訊處理職系去數發

Kingsman 10/07 17:44部過完水就跑回原單位降調了啦。不過我

Kingsman 10/07 17:44還是要說,民間說撞庫你就真的相信撞庫

Kingsman 10/07 17:44,就是規避企業產生信任機制的一環,說

Kingsman 10/07 17:44好履約保證履到哪去?你儲值開驗證也沒

Kingsman 10/07 17:44辦法阻止P幣、Hami跟環保綠點直接被抵

Kingsman 10/07 17:44用掉。Pchome如果覺得自己是無辜第三人

Kingsman 10/07 17:44完全不需任何行政責任,那就最好跟中華

Kingsman 10/07 17:44電信被盜用一樣有點屁股,把月結的點數

Kingsman 10/07 17:44卡止付後,返還被害人。而不是在那邊什

Kingsman 10/07 17:44麼等偵查隊來調卷,阿你一個平台責任就

Kingsman 10/07 17:44是看著消費者透過介接你的平台,連中華

Kingsman 10/07 17:44電信的點數都一起被吃掉喔!?

uegajde 10/07 17:46希望數位部在背書前能說明一下他們做了

uegajde 10/07 17:46什麼查證還有監督的工作、看到什麼,所

uegajde 10/07 17:46以才背書,不然這文看起來就像他們單純

uegajde 10/07 17:46對網家說法照單全收,那就幾乎是瀆職了

uegajde 10/07 17:51更正:數位部→數發部

COSMED2021 10/07 17:56鄉民出一張嘴都怪別人最棒了,哈佛學

COSMED2021 10/07 17:56生改Meta智慧眼鏡上路每個人的個資都

COSMED2021 10/07 17:56看的到,很多人都愛把個資在網路上炫

COSMED2021 10/07 17:57耀公布然後可能的帳號密碼就被程式抓

COSMED2021 10/07 17:57出來撞會很難嗎?

Kingsman 10/07 17:58數發部畢竟就中央單位,處理過就當我已

Kingsman 10/07 17:58經處理了,不然就是把這個當成一般消保

Kingsman 10/07 17:58爭議案件往地方丟結束,沒有很期待他有

Kingsman 10/07 17:58什麼厲害的作為。但是Pchome想定調成個

Kingsman 10/07 17:59案這點我是很不認同的,你真的一點責任

Kingsman 10/07 17:59都沒有?

COSMED2021 10/07 17:59你們被盜的全都報案去,再哪只會怪別

COSMED2021 10/07 17:59人有什麼用,像高鐵點數不就抓一個了

COSMED2021 10/07 17:59,資訊安全要靠自己,不然為甚啥是你

COSMED2021 10/07 17:59被盜不是別人?

ABA0525 10/07 18:01可憐

ABA0525 10/07 18:01怕被告賠錢

COSMED2021 10/07 18:01不是個案你們就跟直銷被倒會一樣組自

COSMED2021 10/07 18:01救會啊,每天都網路傳言,組自救會提

COSMED2021 10/07 18:01團體訴訟啊,看有多少人,是不是個案

COSMED2021 10/07 18:01

mmchen 10/07 18:09犯人保護網正常運作

waitu0526 10/07 18:15撞庫?笑死

doom3 10/07 18:25可以被撞到一堆災情 要馬沒在防要馬庫外洩

speedythief 10/07 18:28大家都知你pchome老大有方法可提前

speedythief 10/07 18:28打疫苗

wangno77 10/07 18:33餅叔不熟

dickstar 10/07 18:44只撞高儲值用戶,厲害

csieflyman 10/07 18:50如果數發部沒有權限進到 pchome 稽查

csieflyman 10/07 18:50 現在業者也已有作為不會再發生 監管

csieflyman 10/07 18:50只能要求業者交報告 未來頂多制定資安

csieflyman 10/07 18:50規範罰錢吧 所以受害者還是要報案 透

csieflyman 10/07 18:50過司法途徑解決才能求償

GiantChicken 10/07 19:15這個好笑 明明就是超針對的盜帳

now99 10/07 19:49啟用passKey不就好,露天都可以

jimhall 10/07 19:51笑死 怪顧客就好

KuwaK 10/07 19:55超厲害 只撞高儲值金的

csieflyman 10/07 20:07如果駭客真的拿到高儲值名單 那受害

csieflyman 10/07 20:07者應該集中在 "全體使用者" 依儲值金

csieflyman 10/07 20:07額高低排序的前幾名名單中 金額至少

csieflyman 10/07 20:07應該都是數萬元起跳 因為金額大一定會

csieflyman 10/07 20:07報警 所以報案人數應該有不少人

flypenguin 10/07 20:09要修法把經濟部的監管權限轉移都被擋

flypenguin 10/07 20:10是能期待數發部做什麼,沒有法律授權

flypenguin 10/07 20:10他也只能打打嘴炮不能實質干涉

Kingsman 10/07 20:24反正個資保護委員會也還在籌備,這種裁

Kingsman 10/07 20:24罰權責不明的期間不用想誰會出來當主事

Kingsman 10/07 20:24者,只會說權責並非本部。相關與我身邊

Kingsman 10/07 20:25的人一同進行的行政程序,在還沒明確結

Kingsman 10/07 20:25論前就不跟Ptt噓文檢討被害的傢伙贅述了

Kingsman 10/07 20:25,我應該不需要噓文的指導,但我就看要

Kingsman 10/07 20:25累積幾個案件處理編號,他們才會覺得不

Kingsman 10/07 20:25是個案。反正已經有心理准備這些會是不

Kingsman 10/07 20:25斷移文跟併案的過程了,準備點耐心就是

Kingsman 10/07 20:25

cmshow 10/07 20:40數發部幫業者洗地,那還需要主管機關幹嘛

misu2718 10/07 20:44多一批領薪不做事的主管機關,就跟資動

misu2718 10/07 20:44部一樣

chiungsuyi 10/07 20:51開啟多重驗證是平台應該要做的事,P

chiungsuyi 10/07 20:51CHOME任由盜用者介接平台、偷光會員

chiungsuyi 10/07 20:51的儲值金,數發部裝瞎?

hr07 10/07 21:01有關係就沒關係 蒸蚌

chiungsuyi 10/07 21:07 https://i.imgur.com/UHQoskO.jpeg

chiungsuyi 10/07 21:07

chiungsuyi 10/07 21:08數發部知道自己在講什麼嗎…有夠雷

goodjackgu 10/07 21:12這樣的發言,我也會說

iceyang 10/07 21:15自己去跟老闆說翻版 自立自強壓

thomaschion 10/07 21:58之前來稽核的官員根本什麼都不會,

thomaschion 10/07 21:58條款不知哪裡抄的,還在那邊民眾要

thomaschion 10/07 21:58開二階段,PC home 之前根本沒有

qwe123456460 10/07 22:18還以為今天網家會大跌

POLICEHK 10/07 22:35你們太不給力了,高鐵賺十萬就被抓了

phoque 10/07 22:44推文說pchome撞庫pchome超好笑

MixBear 10/07 22:50別家就沒問題

brk 10/08 00:09Pchome禮拜五才開始有2FA登入喔

brk 10/08 00:10出事之前單一密碼就可以登入 民眾根本沒有選

brk 10/08 00:10

brk 10/08 00:13Pchome果然政商關係良好 都串好說辭了

m87dd05 10/08 00:16我怎麼記得前幾天有文章說pchome 否認有

m87dd05 10/08 00:16資安問題?

duolala 10/08 00:23現在冷靜下來想一想,應該不至於資料庫

duolala 10/08 00:23外洩造成的,因為一般帳密設計會使用

duolala 10/08 00:24雜湊加密儲存(一般來說不可逆)

duolala 10/08 00:25除非網家用明碼儲存,

duolala 10/08 00:25我不知道是否有蠢成這樣

duolala 10/08 00:25所以就算資料庫外流了,你拿到的是加密值

duolala 10/08 00:26你如果沒辦法還原成原本的值

duolala 10/08 00:26(雜湊一般來說只能單向)

duolala 10/08 00:27那手中拿到加密的值

duolala 10/08 00:27一定不會等於加密值的加密

duolala 10/08 00:28所以帳號密碼就不會一致,

duolala 10/08 00:28也就登錄不進去系統

duolala 10/08 00:28我預設的前提是網家用雜湊儲存密碼

duolala 10/08 00:29和雜湊沒被破解,以上是個人見解

sharon1006 10/08 00:49專門撞高儲值帳號也太會撞了 有夠扯

tinlans 10/08 01:05這討論串太多人誤解這種攻擊的特徵了,

tinlans 10/08 01:06這種攻擊就是要先大量試登一次確認手上的

tinlans 10/08 01:06帳密清單有哪些是有價值的,先用消去法

tinlans 10/08 01:06把沒價值的排除,順便存好 cookies,

tinlans 10/08 01:07最後再一口氣針對高價值帳號下手。

tinlans 10/08 01:07然後對岸用撞庫這詞彙其實也容易招人誤解

tinlans 10/08 01:08成是拿 A 資料庫的內容碰撞 B 資料庫。

tinlans 10/08 01:08然後就會想 B 是 PChome,那 A 是誰?

tinlans 10/08 01:09A 其實是入侵者手上的社工庫,一份來自各

tinlans 10/08 01:09種管道收集而來的帳密及其它個資的清單。

tinlans 10/08 01:10來源很多樣化,盜版軟體註冊機植入木馬側

tinlans 10/08 01:11錄來的,類似伊莉那類論壇但使用古老版本

tinlans 10/08 01:11有漏洞的網站來的,一些店家自己架設網站

tinlans 10/08 01:12但有漏洞來的,非常多元。

tinlans 10/08 01:13這種攻擊要造成實際損失才比較容易引起

tinlans 10/08 01:13警覺,所以在未確認自己手上這份清單有

tinlans 10/08 01:13多少筆帳密是有效之前,不會貿然對平台

tinlans 10/08 01:14發動總攻,所以特徵一定是先掃,再集中

tinlans 10/08 01:15下手,兩波之間有時間差,就是典型特徵。

tinlans 10/08 01:16執行這攻擊的通常帳密清單也不是靠自己本

tinlans 10/08 01:16事收集來的,很多是買來的,所以要先掃。

tinlans 10/08 01:17如果 100% 知道哪筆帳密是有效且有價值

tinlans 10/08 01:17帳號,沒必要分兩波增加被防禦風險。

tinlans 10/08 01:20像有做股票的在證券商都有開戶,但也不一

tinlans 10/08 01:20定有開複委託,就是能交易海外股票的。

tinlans 10/08 01:20當時攻擊者也是先掃出有複委託的帳號再一

tinlans 10/08 01:21口氣下手,當時遭受攻擊的券商有很多在第

tinlans 10/08 01:21一波掃描的時候就發現,主動通報主管機關

tinlans 10/08 01:22而沒受害,所以通報的有很多家,實際受害

tinlans 10/08 01:22的券商卻不多,這就是分兩波攻擊的風險。

tinlans 10/08 01:24這種攻擊對一個平台一輩子只有一次機會,

tinlans 10/08 01:25所以一定要讓單次攻擊產生最大效益。

tinlans 10/08 01:27如果邊登邊確認價值邊交易,你可能 50 萬

tinlans 10/08 01:27筆資料跑下來只有 5 個帳號有價值,也都

tinlans 10/08 01:28交易下去了,造成損失就會有引起平台關注

tinlans 10/08 01:28,可能賺 5 筆這招就被平台封了。

tinlans 10/08 01:31實務上大多網站不像券商在第一波就能發現

tinlans 10/08 01:32,所以為了最大化效益,都是這樣拆兩波。

tinlans 10/08 01:34這種攻擊的收益形式在不同平台也有不同

tinlans 10/08 01:34形式,沒辦法無確認成交虛擬商品銷贓的,

tinlans 10/08 01:35可以改成收集個資來賣給詐騙集團、用盜來

tinlans 10/08 01:35的帳號開設詐欺賣場、仿冒品賣場,或者直

tinlans 10/08 01:35接拍賣帳號本身。

tinlans 10/08 01:36所以這種攻擊其實 15 年以前就很多了,

tinlans 10/08 01:37只是每次都以使用者指責平台資安問題收尾

tinlans 10/08 01:38,後續就不了了之,強化的只有已受害平台

tinlans 10/08 01:38的資安,使用者本身還是依然故我。

tinlans 10/08 01:39然後在未受害未加強防禦的平台再吃一次虧

tinlans 10/08 01:41如果不缺錢的可以去玩玩 telegram 上的

tinlans 10/08 01:42社工機器人之類的服務,把你朋友主管的

tinlans 10/08 01:42私人手機或信箱餵進去,會意外看到很多

tinlans 10/08 01:42他們用過的其它帳號、信箱和密碼。

ideekao 10/08 01:44樓上的說法讓我感到害怕 瑟瑟發抖~

ideekao 10/08 01:44https://imgur.com/DawXH2w

tinlans 10/08 01:44搭配暗網在賣的戶政資料,交叉比對就可得

tinlans 10/08 01:45這些人的身分證字號和生日,一些用生日當

tinlans 10/08 01:452FA 的金融機構、網站這機制就形同虛設。

tinlans 10/08 01:47喔有些網站信箱不給換的原因是,它們工程

tinlans 10/08 01:48師對密碼做 hash 時會拿它來當加鹽的素材

tinlans 10/08 01:48,如果可以更換的話做起來很麻煩。

sharon1006 10/08 01:49但原原po那串有統計兩名受害者的帳密

sharon1006 10/08 01:50在pc是唯一值,他們的資料是哪來的?

tinlans 10/08 01:51這種就有兩種可能性,一是木馬,現在很多

tinlans 10/08 01:51win7/xp 再戰十年、防毒軟體才是病毒的

tinlans 10/08 01:52言論,要看是不是這類型的人。

tinlans 10/08 01:52另一個可能性就比較不想在這講得太明,

tinlans 10/08 01:53比較含蓄的說法就是其實並非真的是唯一值

tinlans 10/08 01:55說真的前者可能性不低,短短這幾年就連

tinlans 10/08 01:55到處都在用的 OpenSSL 都淪陷數次,

tinlans 10/08 01:56敢在未更新的設備上執行金融交易也是很猛

tinlans 10/08 01:58系統更新時修補的漏洞有在看敘述的話,

tinlans 10/08 01:58有些會寫這次修補的漏洞是可以遠端讓本機

tinlans 10/08 01:58執行任意程式碼的。當然往年大多數這些漏

tinlans 10/08 01:59洞都有一些附加條件才能利用,不會廣範圍

tinlans 10/08 01:59無差別中獎,不過近五年的確是有那種不

tinlans 10/08 02:00需要條件就能隨便對你電腦上下其手的。

tinlans 10/08 02:01公用 WiFi 不要拿來登要帳號的網站這點

tinlans 10/08 02:01其實也是很多人做不到。

csieflyman 10/08 02:04我上面的推文有強調 如果資料外洩 受

csieflyman 10/08 02:04害者應該集中在 "全體使用者" 依儲值

csieflyman 10/08 02:04金額排序前幾名 我推測 pchome 應該是

csieflyman 10/08 02:04檢查出還有很多高儲值金額的人沒事

csieflyman 10/08 02:04 所以認為這只是駭客從手中有限名單過

csieflyman 10/08 02:04濾出的高儲值帳號而已 至於為何只有 p

csieflyman 10/08 02:04chome 出事? 那是因為這次駭客本來就

csieflyman 10/08 02:04鎖定 pchome 儲值這個資安弱點攻擊而

csieflyman 10/08 02:04已 並不代表其它網站沒出事 只是你不

csieflyman 10/08 02:04知道沒注意或沒上新聞而已

tinlans 10/08 02:06是的,其實很多真的沒上新聞或沒人關注

tinlans 10/08 02:07只是我很意外 PTT 兩年前才被大殺一波

tinlans 10/08 02:07但是對這次事件感覺就像第一次遇到一樣

tinlans 10/08 02:08蝦皮、露天、Y 拍等等的站台早玩過一輪了

csieflyman 10/08 02:08話說 momo 也很爛 我用手機 app 變更

csieflyman 10/08 02:08密碼輸入16位 結果登入頁檢查長度上

csieflyman 10/08 02:08限是15位 改了之後無法登入 還好我還

csieflyman 10/08 02:08有綁google帳號才能登入再改一次密碼

tinlans 10/08 02:09然後有時是網站不更新系統造成的漏洞,

tinlans 10/08 02:09所以密碼是唯一值還不夠,沒開 2FA 就是

tinlans 10/08 02:09最好定期修改,10 年前那個 Heartbleed

tinlans 10/08 02:10漏洞連唯一值但不修改密碼的帳號都通殺

tinlans 10/08 02:12其實台灣軟體業人員流動很快,有些整個原

tinlans 10/08 02:12團隊人馬都跑光了,新來的根本不知道前人

tinlans 10/08 02:12做了什麼,整天在四處解謎,就很容易看到

tinlans 10/08 02:13你說的這種 15、16 位數的白癡問題。

tinlans 10/08 02:15日本的 IT 慘業也差不多就是,你隨便註冊

tinlans 10/08 02:16一個帳號,修改 POST 到 API 的資料欄位

tinlans 10/08 02:16,居然可以傳回其它帳號的資料。UID 從

tinlans 10/08 02:161 掃到 999999 就大豐收。

tinlans 10/08 02:18這種都是當初作者想說先寫個能動的東西就

tinlans 10/08 02:19好,然後他就再也沒空回來補強了,也沒交

tinlans 10/08 02:19接給後面的人說這邊未來要補強。

csieflyman 10/08 02:20我自己定的密碼規則是包含密碼變更時

csieflyman 10/08 02:20間及網站簡稱 變更時間用來提醒過一陣

csieflyman 10/08 02:20子需要改密碼了 網站簡稱讓每個網站

csieflyman 10/08 02:20的密碼都不一樣 而且這個規則是我大

csieflyman 10/08 02:20腦記得起來的 不必特別死背 不過現在

csieflyman 10/08 02:20我已逐漸改用密碼管理器了

csieflyman 10/08 02:23萬一被公佈密碼 我從網站簡稱就知道大

csieflyman 10/08 02:23概何時是從那裡外洩出去的

tinlans 10/08 02:25老外更早被這招玩過,密碼管理軟體比較

tinlans 10/08 02:25流行,我大概是 2004 左右開始用 KeePass

tinlans 10/08 02:26,所以每半年到一年就會去查看看哪個網站

tinlans 10/08 02:27外流我密碼,因為都自動產生的必定唯一。

tinlans 10/08 02:28當時對岸很流行一個 Discuz! 論壇系統,

tinlans 10/08 02:28但是安全度爛得可以,以前還有個烏雲網

tinlans 10/08 02:29會不定期公開這系統漏洞,拿那些公開漏洞

tinlans 10/08 02:29就能拿 web shell,dump db 跟側錄登入框

tinlans 10/08 02:30這種事情整天都有人在玩。

spirit119 10/08 02:36樓上勾起了我的回憶

spirit119 10/08 02:37以前很常會看這些東西

lukedoomer 10/08 08:32不同意簡訊比EMAIL安全

lukedoomer 10/08 08:33整天有人幻想簡訊不安全

lukedoomer 10/08 08:34舉那些用email驗證的網站例子 一堆只

lukedoomer 10/08 08:35是平台單純不願意花簡訊費用罷了

SHENG2014 10/08 09:45數發部不就按Pchome給的稿發而已。

SHENG2014 10/08 09:47高儲值用戶都用身份證及生日當密碼嗎

keerily 10/08 10:40數發部真的一點屁用都沒有

ReiChang 10/08 12:03出國第一

h3651551 10/08 14:11紅明顯,真心想知道簡訊不安全在那? 也

h3651551 10/08 14:11有加密不加密或是被監聽的問題嗎

tinlans 10/08 14:502FA 有就是比沒有好,去區分哪種比較安全

tinlans 10/08 14:51沒什麼實質意義,使用者基本資安觀念沒有

tinlans 10/08 14:51的話,一切都形同虛設。

tinlans 10/08 14:53防範這種攻擊法的基礎就是增加機器人自動

tinlans 10/08 14:54大量嘗試登入的困難度,只要無法簡單用程

tinlans 10/08 14:54式驗證上萬筆帳密是否在此網站有效,有效

tinlans 10/08 14:54的帳號是否有足夠的盜用價值,就能倖免。

tinlans 10/08 15:012FA 各種機制的安全與否是另一個面向的

tinlans 10/08 15:03議題,如果信箱帳密一起被賣,用信箱就沒

tinlans 10/08 15:03意義,如果是被種木馬,簡訊就沒意義,

tinlans 10/08 15:04如果是被釣魚,初始 token 被複製走,

tinlans 10/08 15:04那 Google Authenticator 這類的也沒意義

tinlans 10/08 15:10與其教育廣大不具資安知識的使用者,平台

tinlans 10/08 15:11方更具專業知識背景,多做點登入防護就能

tinlans 10/08 15:12解決的事,其實不用想其它的事那麼遠。

weikai1978 10/08 15:27請教T大,您覺的MOMO,PC,蝦皮,YA這四大

weikai1978 10/08 15:27網購平台,PC的登入防護作的如何?

weikai1978 10/08 15:28好像連基本的異地登入驗証跟通知都沒?

tinlans 10/08 16:07yahoo 很久沒用,剛看了一下可以開啟兩步

tinlans 10/08 16:07驟驗證,這個還行。蝦皮我每次從別台電腦

tinlans 10/08 16:07登都會發簡訊來,MOMO 我隔一小時從同一

tinlans 10/08 16:08台電腦重登都會發簡訊要驗證,都還行吧。

tinlans 10/08 16:09只要大量機器人登入會被這東西攔住,成為

tinlans 10/08 16:09這種攻擊目標的機率就會大大降低。

tinlans 10/08 16:10PC 現在我登出再登入也會要求信箱驗證碼

tinlans 10/08 16:11,不過登入失敗沒任何通知是不太好。

csieflyman 10/08 16:13國中小電腦課應該要加入資安教育 另外

csieflyman 10/08 16:13資安最大的敵人之一就是懶惰 如果網

csieflyman 10/08 16:13購登入 結帳 都卡驗證 最後銀行端再

csieflyman 10/08 16:13來個簡訊 OTP 又有人要抱怨買個東西這

csieflyman 10/08 16:13麼麻煩 最後網站加了成本 轉化率卻降

csieflyman 10/08 16:13低 如果營運本來就不好 誰要做? 除非

csieflyman 10/08 16:13主管機關規範一定規模的網站 至少要

csieflyman 10/08 16:13有那些資安措施 加個政府認證標章之

csieflyman 10/08 16:13類的 不過這些都比不上便宜的價格 有

csieflyman 10/08 16:13貪念 密碼個人資訊全都填 出現什麼都

csieflyman 10/08 16:13按下一步

tinlans 10/08 16:15養成用密碼管理軟體自動產生獨立密碼的

tinlans 10/08 16:15習慣,然後定期改密碼 (避免站方系統有漏

tinlans 10/08 16:16洞造成帳號密碼被收集),其實就不太用怕

tinlans 10/08 16:16當然在這之外能盡量不要用來路不明軟體,

tinlans 10/08 16:17不在公用電腦、公用網路登帳號這些基本

tinlans 10/08 16:17觀念也要有。真能做到這些其實在這幾家購

tinlans 10/08 16:17物還不至於成為受害者。

tinlans 10/08 16:20有些加密貨幣交易所轉帳或出金超硬的,

tinlans 10/08 16:20強制要求 email、手機簡訊驗證碼,再外加

tinlans 10/08 16:21Google Authenticator,不是沒有原因。

tinlans 10/08 16:21當然購物網站不可能每次交易都這樣搞

tinlans 10/08 16:23,不過網站有提供這些機制讓你開,就是多

tinlans 10/08 16:23一層防護,不開白不開。

tinlans 10/08 16:24就像 csieflyman 講的,絕對不能懶。

tinlans 10/08 16:25轉化率問題,的確是只能靠主管機關要求,

tinlans 10/08 16:25這樣大家都一樣麻煩,就沒什麼好比較。

tinlans 10/08 16:26兩年前券商被盜帳號下港股事件就是金管會

tinlans 10/08 16:26跟證期局要求所有券商落實登入驗證機制。

tinlans 10/08 16:28原本券商很多只要有身分證字號、網路下單

tinlans 10/08 16:28密碼跟憑證就能下單,而憑證只要輸入出生

tinlans 10/08 16:29年月日就能自動申請下來,現在會有 OTP。

tinlans 10/08 16:30當時有人還質疑其它網站都沒地方輸入身分

tinlans 10/08 16:31證字號和生日,這樣是要怎麼撞。但當時在

tinlans 10/08 16:31暗網的長安不夜城就有賣戶政資料,拿來跟

tinlans 10/08 16:31既有社工庫做交叉比對就能整合出來。

ctes940008 10/08 20:36現在還是有證券公司跟XX一樣

ctes940008 10/08 20:37身分證一直被測試,輸入三次錯誤密碼

ctes940008 10/08 20:37直接鎖起來,光是每週在那邊解鎖就煩

ctes940008 10/08 20:37死了。證券公司不讓自訂帳號OOXX

ctes940008 10/08 20:37有人要搞你的話,拿身分證字號每天試

tinlans 10/08 21:09這個問過了,錯三次鎖住是主管機關要求,

tinlans 10/08 21:09他們也沒辦法只能照做。

tinlans 10/08 21:10不能自訂帳號這點我也不懂就是了,很蠢