[閒聊] 不為人知的工程師內幕
為什麼密碼對了和第一次登入是帳號或密碼錯誤啊
就是你第一次帳號密碼打對了,還是會跟你說登入錯
誤,要你再試一次
你第一次登入的時候不管你密碼打對還是打錯都給你錯誤
這是某種防盜機制 避免你用機器人洗密碼測試
因為你第一次錯誤了 機器人就會當作這密碼不能用 跳過這
一組
你有沒有遇過那種明明輸入過跟你講錯,試了好幾個密碼繞
一圈又回到一開始的密碼就正確了的狀況
插USB孔的概念
很爛 使用體驗也很糟 但對防盜而言很實用XD
以前有個故事是,會故意第一次阻擋你登入,然後檢
查第二次輸入的資訊跟第一次對不對,判斷你是不是
真的記得帳號密碼
防止暴力破解密碼,但使用者會懷疑人生的設計
防暴力破解有用但是很靠北
暴力破解密碼:密碼有100,000種可能,那就試100,000次
然後再多加個失敗三次鎖定N時間對吧
原來如此
圖片上面有寫啊,防止暴力破解
對機器人有用,但但我很不友善
就有效但使用者體驗極差的設計
靠腰,我已經養成不太看註解的習慣了...
假設機器人設定四位數數字密碼,他會從0000~9999每次+1
類似的機制還有三次錯誤就冷卻15分,期間不管怎麼試就算
是試到正確的也跳密碼錯
去嘗試,如果你密碼是1111,那機器人從1110失敗後會+1變
1111,然後雖然密碼對了但是是初次登入,所以還是會失敗
這時機器人就會+1嘗試1112,但1111就永遠不會再試了
如果是錯三次會鎖住的 這種設計就是搞人
因為每個地方密碼要求不同 用的就可能好幾組
但資安就是防盜優先便利性就是了
我試第一次錯了我會以為我用的是別組去試別組
所以你要搞這套你密碼就不要要求一堆
我怎麼覺得這應該會有效,持有者會很問號而已XD
安全和便利一向是互斥的,沒辦法
儘管資安永遠是人最不安全(
只能說很有效的防止了機器人的 Brute-force,但會讓使用
者想對開發者 Brute-force
什麼英文也有大小寫 要有特殊符號的都是搞人
幾種密碼換著用的人會很幹
特別是又要你定期換密碼的,遇上這個真的會懷疑人生
就是你常常第一次登入都覺得沒按對的原因啊wwww
這圖超久
所以這確實對於暴力解法有效果 但使用者體驗會很差
其實這張圖還有個重點,這個機制是秘密的,因為如果突出
的訊息是能分辨,那就無法防止機器人了
你要防暴力破解 你就不要對密碼有任何設定限制
現在低標大都要求大小寫+數字了吧
結果搞到鎖密碼 那才好笑
但除非機器人第一次就打對,不然還是沒用吧
這個真的會讓使用者體驗很差
資安最大的問題就是人,然而狗官為了彰顯自己不同都想辦法
還有地方密碼不給升冪降冪的 有病
現在真正靠北的反而是只能大小寫+數字不能用符號的反而要
另外想密碼
不是,這個機器人必須設計成,單一密碼要試2次才行
把自己放例外,如果不能從上而下確實落實,那資安都是屁
「如果密碼正確,而且是第一次嘗試登入,回應密碼
輸入錯誤」
我就很討厭要求大小寫啊 要求數字我就算了
很討厭但很有用
任何事情都一樣,上樑不正下樑一定歪
要求大小寫變成我要記得哪些地方的密碼要大小寫
像上面那個0000-9999的案例,機器人必須連打兩次1111
才能登入成功,否則他的0000-9999全部失敗
但有設錯誤上限的凍結時間就很好笑了
每一次打的前兩組就是一個有分大小寫一個沒有
大小寫很有用但是很痛苦
原來這招是為了防盜喔?!
難怪沒錯都打錯
不過的確欸 如果只是第一次登入錯誤 其實防止暴力破解
的能力蠻有限的 應該要用不管什麼密碼第一次一定錯
最好笑的是 整天說那些密碼最容易被破 啊我用最簡
單的密碼都沒被破鍋 騙自己嗎
搞使用者
最低標是大寫英數字,再來就特殊符號
然後是不能111 123 abc zxc
太噁心人了吧==
原來不是我記錯 真是謝謝喔
其實現在一堆莫名奇妙的圖片防盜好像沒比這招好
如果是db外洩通常就是拿著帳號密碼表用機器人試一輪通常
錯了就直接換下一組了
圖片防盜是要測你是不是機器人
現在AI訓練已經到辨識率比人工高了
暴力破解是去嘗試所有可能啊,所以一組通常不會試兩次
安全機制這種東西不就是以防萬一嗎?
這會連正常使用者都一起擋掉,因為即使這網站不設密碼限
我可以理解資安的立場 但我是使用者我就是不爽被搞
有效但 但心情會很糟
所以這登入機制是你暴力破解中也當成錯的,就繼續下一
組了,應該是可以防禦才對
制,但其他網站有啊!而且每個網站的限制還不一樣,無法同
很噁心 但是這是用人性去攻擊機器人
因為就是浪費我時間 增加我困擾
你會設定機器人每組密碼都要連試兩次的話,工程師就會設
三次
密碼走天下,所以輸入錯誤也只會讓使用者換下個密碼,然
後就鬼打牆了
搞機器人這招真的有用可是有夠噁心人w
這不就是標準的:懲罰合法使用者嗎?
使用者輸入正確密碼要被連擋三次,這網站應該會倒
設三次大概會被負評灌爆吧
你還是換個資安方案吧
啊為什麼有病
這招只能用一次,需要加到第二次就該換方法了,不然就跟
現在的圖形辨識一樣在懲罰使用者
再配上要求定期換密碼+不能用和最近N次相同的密碼
我要吐了 這三小
最安全的還是兩階段驗證吧
還要大小寫英數字及至少一個特殊符號
兩階段驗證對那種需要共用登入的也很麻煩就是wwww
就一個系統需要很多人來維運的
名義上很多人join但實際上只有小貓2隻會管
多人維護的也很多用二階段阿 加入時資安提供token就好
共用登入要安全通常都是一定時間內產生一組隨機密碼吧
有權限的才能看到這密碼
2fa不是綁帳號嗎正常應該是每個人的都不一樣
圖形認證也是防機器+搞人,但就是資安VS便利性
其實也有設計法是錯誤3次以上時才要求圖像驗證
現在圖形辨識已經沒用了因為AI辨識率更高所以又化繁為簡
改成用簡單的圖形辨識從行為判斷是不是人工
因為你擁有者要打兩次密碼才能登入吧XD
不是啊 你知道這招的話你讓機器人每個密碼試兩次就可以了
啊
我覺得google有實裝這個東西 要強迫使用者換密碼
旁邊的一個把頭髮扯爛 一個瞬間白髮XD
要打對二次密碼
懲罰正常使用者啊w
幹還有這種功能
確實有用XD
超壞
蘋果的 iTunes 登入就要打兩次密碼,不過第一次打對並沒
有跳錯誤訊息,而是同樣提問視窗要輸入密碼
那我不自己記密碼,都用密碼管理怎麼辦
幹 這有病 當我打個長串密碼結果是錯的 會崩潰
這種再配上次數限制才是蝦仁豬心
加上有些使用者已經被養成錯三次密碼帳號就會被鎖
跳錯誤我會以為自己記錯,根本搞人= =
防暴力破解但有用
原來不是我手殘啊(X
太有道理了 我也真是謝謝你
有點白癡但防盜應該有用XD
簡單的防盜
那機器人只要每組試兩次不就好了0.0
真的有人這樣做喔?
害我以為自己打錯
不是都用雙重機制了嗎?
有用個屁啊,就會去試別的直到最後被鎖
知道規則就沒用了
??那有用網頁記憶密碼的怎辦?這樣還錯,不就會讓人發
現第一次一定錯誤了嗎?
這很容易破解吧 駭客只要自己也有個帳號 然後去嘗試該網
站是不是有用這個機制 接著就能把機器人設定試二次就好
終究還是二階段認證比較實用
相當反人性但對資安有用
太狠了
如果網站可以個別設定要不要啟用這機制 就不好破解了
機器人也可以進步的啊,未來變成機器人學會試十次人類只
好都輸入十一次?然而人類會被煩死機器人不會
防機器人用
感謝4樓解釋,我一直不懂有個常用的網站為什麼會這樣,
現在突然覺得很合理了
喔我學校郵件的帳號也是這樣
我幹你娘 登入公司系統WiFi每次都跟我說密碼錯誤
還要重開機一次的原因是這喔
最低能的是有些要求一定要特殊符號有些又不能有特
殊符號,不能統一一下嗎?
媽的看到就有氣 我的密碼自己都有筆記本紀錄,但今天早
上微軟就跟我說我密碼錯誤硬要我重設。
這東西前提是駭客沒用這個網站吧 不然每次登入第一次
都被擋一定會發現
對我這種有三四種密碼在換的人有夠不友善,這樣我只會想
不起來用哪組
感覺蠻有用的欸 但一定被靠北
可以個別設定要不要啟用這機制? 這沒差啊 駭客看設定知
道有沒有這機制後 結果還是一樣 反正就讓機器人嘗試2次
然後沒開啟這機制的用戶 還不是一樣第一次嘗試就能進
就算今天本人在輸,不知道這件事的情況看到跳錯誤也不一定
會直接重輸一次,可能懷疑自己組合哪裡記錯改輸不一樣的啊
,那不就反而過不了...
我會以為我用別組密碼 最後試到懷疑人生
這邏輯沒問題 哈
這個應該會設計成初次輸入對的不計入登入失敗吧?
不然信箱一堆登入失敗的信誰受得了
金價五擊敗!!
等等這機制是真實存在的嗎?!
幹太靠北了吧
用我不是機器人不就好了
這個好吧
這個機制根本只會擴大資安漏洞,因為使用者收不到正
回饋就會記憶混亂,記憶混亂就會貼便條紙記帳密,最
後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所
有反人類的管制機制最終都只會傷害資安
以月為單位頻繁更換密碼同理
太靠北了
水喔
擊敗有用 但有更好的方法
這個弱掃應該就不會過了
機器人可以從世界各地猜密碼,便條紙只有身邊的人挖得到
確實能強化資安,結案。
真的是brute-force 就是會收到大量檢舉
知道要打2次就能破解了 有什麼用啊
只是讓使用者懷疑人生
因為暴力破解不會重複嘗試相同密碼
但是記得密碼的人會
我感覺我遇過..
現在很多人的密碼都是長得差不多但些微的不一樣,遇到
這個很容易就被鎖,哭啊
爛方法,在搞正常使用者
真的有病 以為自己記錯密碼 各種大小寫繞一圈到最後
發覺還是本來的密碼 尼瑪德
你那機器人哪知道誰沒開啟這機制啊? 當然有差啊...
你是以為第一次就能駭進去了是不是....
你的機器人第一次試錯了 要怎麼知道機制有開還沒開?
你說試兩次 你這兩次的時間要多久?
不看推文還以為這只是一個笑話 居然真的拿來連一般
使用者都擋? 難怪Adobe和微軟每次忘記密碼重設都
說我不能用當前的密碼 幹他媽的垃圾公司
爛方法沒錯,靠盃我密碼好幾組,看到錯誤我一定是換
一個密碼試==
第一次一定錯太明顯了,要加個亂數
超智障,什麼年代還在暴力破解,擋到的只有人而已,大
小寫符號只是增加忘記密碼的使用頻率
上面就說不用管使用者有沒有開啊 只要知道有這機制就夠
重新改密碼還顯示不能跟舊密碼相同真的超哭
了 知道後不管誰都嘗試兩次:1.使用者沒開 那機器人第一
次嘗試就登入了 根本不用再嘗試第二次 2.使用者有開 那
機器人第一次失敗 第二次就成功登入
這應該想像一下就懂了吧 所以才說根本沒差
超機車www
google authenticator 就能解決的事情
原來有這種機制喔
有啊…只是使用者會覺得體驗很差
嘗試2次成本就翻倍阿 雖然不該用這方法沒錯
第一次強制失敗 是人的話會懷疑是不是自己打錯再打一次
bot就直接放棄了
現在都用app二階段驗證了 密碼什麼的隨便啦
擋機器人的
是說現在都2階認證惹
沒有用的設計 防止暴破的方式主要是設重試上限
幹你娘
文盲
低能設計 如果我知道哪個網站這樣玩以後就不用了
7
原文恕刪 先講結論,基本上你能想到的增加自己麻煩的反人類的機制, 幾乎都無助於強化密碼安全。 至於細節,若要講怎麼設密碼來防止暴力踹密碼, 就必須了解是怎麼暴力踹密碼的。8
不太懂這種設計的必要性 如果是要防機器人暴力破解 設定個密碼錯誤的CD時間就好 比方說密碼錯誤3次鎖1個小時之類的 搭配基本的密碼複雜度要求47
其實現在密碼要求的越來越複雜了。 以前-- 隨意輸入,最多可能就限你4個字以上。 現在-- 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。15
好奇想借串問一下二階段認證是有什麼嚴重的缺點嗎? 因為工作的關係,會需要一些大公司平台的帳號 但這些平台有用二階段認證的非常少 基本上還是定期換密碼+新密碼不得用前幾次相同+失敗數次後一段時間內不能登入 但問題是每個平台要求更換密碼的週期的不一樣10
確實越來越多網站密碼要求越來越複雜,沒多久又要換一次 甚至有人做了一個遊戲來調侃 回到正題 密碼管理的話我會推薦使用bitwarden之類的密碼管理器去存4
15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間 最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困 擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當 時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放
3
[討論] 黃國昌有要選嗎?怎麼党攻擊成這樣?綠營攻擊成這樣484認為真的威脅到選情了?? 目前最大的對手應該是柯P或郭董吧? 幹嘛努力攻擊原本就是小綠的國昌老師????? 泛綠覺青真的看不懂這樣對賴副的選情有何幫助.... 還是有不為人知的內幕???2
[問卦] 全台最好野的新竹有什麼是最頂的?阿NO 蜜納嗓 空你既挖 新竹, 台灣科技重鎮, 無數工程師創造出遠超其他行業的產值, 口袋很滿,沒地方花2
[問卦] “內幕”這個詞是不是走入歷史了現在各大媒體、公眾人物如果要講不為人知的秘辛,以前會講內幕,但現在就會說“貓膩” 結果現在同事也在那邊貓膩來,貓膩去的,以後可能還有狗膩?已經沒有聽到別人在用內幕這個詞了 所以“內幕”這個詞是不是走入歷史了? ----- Sent from JPTT on my Xiaomi 21091116AG.3
Re: [問卦] 有多少人被好好念書以後有漂亮老婆害死8: : 其實半仙覺得 徐志摩 還蠻慘的.. : 雖然他本人也是蠻糟糕的啦...花心就算了 : 他為了林徽音也被他老師罵到快翻掉 : 後面結婚後為了供應林徽音的花費3
[問卦] 一直找不到人的職業有什麼特色的八卦?各大求職網站都有那種掛在上面永遠沒人應徵的職業。 看了一下薪資工時內容福利要求條件也很正常,沒特別好沒特別壞。 有沒有這方面的八卦?還是有什麼不為人知的內幕? ---- Sent from BePTT on my Xiaomi Mi 9T Pro1
[問卦] 詐騙算高cp值的工作嗎?看幾篇新聞 都千萬來千萬去 然後跑車一堆 珠寶金條 詐騙算是高cp值的工作嗎 板上有做過相關的嗎 有八掛嗎 有沒有不為人知的內幕1
Re: [新聞] 快訊/李靚蕾深夜長文揭離婚內幕 控王力因為你是優質偶像,我沒有任何戒心,我們自然的在一起,發生了關係。隔天早上你卻說你不想談感情。我從來沒有遇過這樣的事情,當時很驚訝,但是同時因為你也很真誠的跟我分享了很多你的孤單和內心的秘密。我當時覺得你形象這麼優質,應該是受過什麼傷害才會這樣。 我看到這一段,真是忍不住笑了 渣男用的套路都一樣一樣欸 喜歡對妹說自己寂寞孤單,演那一套多麼不為人知 很激發母愛?1
[閒聊] 當志工的內幕聽過一些去當過志工的說 發現其中不為人知的內幕 不像外界認為的美善看到世態炎涼 有的是為了津貼或有額外好處 連正職和主管都不敢惹志工難管理1
[問卦] 猥瑣慾為 會是年度成語嗎最近不管是哪都興起咪兔熱潮 讓性騷擾問題浮上檯面 陸續有人揭開不為人知的內幕 猥瑣慾為 有機會成為年度成語嗎 掌握權利的人真的什麼道德都可以不用管 好可怕 有沒有八卦?- 是這樣啦 本魯覺得這次威力頭獎的的金額 跟五倍券的成本好像有點接近 不知道這之間有沒有什麼量子吸引還是有因果關係? 是命運的糾纏,或是另有隱情,還是有什麼不為人知的內幕呢?
68
[問題] 什麼時候會讓你覺得自己跟不上時代了?66
[閒聊] fate動畫順序53
[討論] 大家打過最高排位的遊戲?49
[閒聊] 披風拖到地上有特別原因嗎46
[FGO] 第二部最適合動畫化的是哪一章42
[英國] 金搖桿獎:黑悟空得年度最佳遊戲肯定42
[閒聊] 鳴潮跟鐵道今天打對台嗎?74
[閒聊] 很正的單親媽媽真的會很難找對象嗎?41
[問卦] 鬼塚英吉怎麼撐住內山田主任的霸凌?41
[鐵道] 送常駐五星自選40
[閒聊] OPENAI出現前,OPENAI出現後37
[妮姬] 朝聖鑄模要開有什麼玄學可以參考?36
[閒聊] 星鐵開大了啊 愛莉34
[閒聊] 鐵道3.0劇情應該不會搞砸吧33
Re: [閒聊] 有辦法將綠鬣蜥全部移除掉嗎?32
[閒聊] 真三八大爆炸後是怎麼做出起源這麼好玩28
[問題] 三國無雙把喜憨兒呂布做的很強做什麼?30
[閒聊] 台灣異世界轉移29
[情報] 鄉下大叔劍聖 25年4月新番28
[PTCGP]沒想到 我也有成為歐洲人一天28
[閒聊] 敗北女角 溫八賀圖27
[閒聊] Lawson即將推出 可以喝的美乃滋31
[情報] 經紀公司猛烈回擊 公開與T1談判時間軸26
[Vtub] 11/21同接鬥蟲24
[閒聊] 寶可夢台灣卡牌暴漲23
Re: [閒聊] 中華一番 極 168 不可以色色21
[鐵道] 流螢2.7後半復刻19
[問題] 關羽跟張飛是天生神力嗎?21
[妮姬] 太邪惡了!20
[閒聊] X-LAWS的潮度在死神可以排到哪裡?