Re: [閒聊] 盜帳號

看板DNF作者 (靜舞)時間11年前 (2013/05/24 10:21), 編輯推噓14(14070)
留言84則, 20人參與, 最新討論串3/3 (看更多)
以下小弟非常表面的看法..大家討論一下 我不知道g社的密碼驗證機制是怎樣的 但是這世界上沒有破不了的加密系統 即使妳用的是RSA加密演算法 加密機制很重要的一個要點在於"時間" 任何的加密系統 如果沒有把金鑰 憑證或是之類的東西加上時間標籤 被破解只是遲早的事情 跟檔案存在client或是server沒有直接關係 當然存在server端要破解決對比client來的困難 但不是存在server就沒問題 這時候又要提到D3(乾 我真的很不想提 但是他在驗證這部份真的作的不錯) D3的驗證器為何說破解不了 因為在一開始設定驗證器時 就已經將驗證器/手機的時間與server同步了 所以只要驗證器/手機還在妳手上 沒有人能知道在這30秒之內的驗證碼是啥 當然時間總是會有誤差 我猜測應該每次認證都會做一次時間同步的動作 如果驗證碼沒有時間限制 從頭到尾都同一組 只要願意花時間 遲早會被破 這也是為何時間標籤很重要的原因 ※ 引述《osalucard (惡魔城)》之銘言: : 標題: Re: [閒聊] 盜帳號 : 時間: Fri May 24 09:05:44 2013 : : : 附帶一提,手機鎖還是沒有用的,昨天被盜的朋友有用手機鎖依然被盜 : : 真不曉得是用什麼黑科技.. : : 這句話如果PO在哈哈姆特我想你會被酸死... : : Garena的手機鎖早晚會被破解的,為什麼? : 因為驗證碼的檔案在client端,不在server端 : (client端即你的電腦,server端即garena的電腦) : 怎麼知道是在client端?很簡單 : 只要你移除競時通,再把競時通安裝回去 : DNF就會再度要求你輸入驗證碼了 : 這就代表驗證碼的檔案存在client端了 這樣問好了 妳所謂的client是指手機還是電腦? 妳的驗證碼取得是手機還是電腦? 這個作法頂多是證明這台電腦並未經過驗證許可 但是發出了連線需求 所以傳出的封包也就不會有驗證碼訊息 所以server才回傳訊息要求輸入驗證碼 如果檔案存在client 何必多此一舉? 包一包送過去server驗證就好啦 所以我個人猜測問題可能是出在"信任此裝置"這裡可能有漏洞 : 一些正版光碟的防盜技術不斷翻新 : 但最後都還是被破解 : 最大的共通特色就是檔案都在client端 拿光碟來當例子有點怪怪的.. 單機遊戲光碟裡面沒內容妳要玩啥..? 遊戲或電影光碟 不放在client要放在哪? : 那又何況是garena的手機鎖呢? : 所以會被破解一點也不意外 我不知道g社手機鎖的演算法怎麼寫的 但說被破解一點也不意外? 我只能假設問題可能出現在"信任此裝置上面" 或許這地方會有漏洞可以鑽 但是理論上 手機鎖如果是跟d3類似的演算法 要破解根本不符合成本效益 : 至於被盜,我想應該是帳號密碼和其他地方剛好一樣,可能是論壇,可能是遊戲 : 個資被賣掉了只是都沒有人知道,這個可能性是最高的 : 再來才是中了木馬,但除非你沒裝防毒或者你是名人 : 不然盜帳號集團也是要講求效率和投資報酬率的 : 一個一個駭客進去盜,太費時費工了 ......盜帳號還要手動我還第一次聽過 前陣子八卦版的網兵DDOS攻擊有參與到嗎? 點開網頁就可以進行攻擊 還需要妳慢慢點? 最單純的暴力攻擊法 用0~9作數字排列 盜帳號還要一個一個猜?當然是用程式下去跑啊 跑完哪個可以登入了再過去手動洗光 然後程式繼續跑 : : : : -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 1.34.229.15 -- ▄▄▄▄▄_____▄▄ 鍵盤協會徵才 ▄▄▄ ▄▄▄▄▄▄ /FF 專長:鍵盤分析 早知道就 \ ▄▄▄▄ 工作:關心比賽 不轉職了! ▄▄ ▄▄ ▄▄▄▄▄▄▄▄▄▄ELO 3000 已哭 ◥▄▄ ▄▄▄▄▄▄待遇:面議 ▄ ▄▄︸ ▄▄ ▄▄▄▄▄▄ ▄上班日期:即刻上工 by aresa ’#‘▄▄ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.222.81.253
05/24 10:25, , 1F
clint -> client......
05/24 10:25, 1F
05/24 10:26, , 2F
XDDD 糟糕
05/24 10:26, 2F
※ 編輯: silencedance 來自: 61.222.81.253 (05/24 10:26)
05/24 10:26, , 3F
感謝一樓指正
05/24 10:26, 3F
05/24 11:13, , 4F
DNF用的跟D3是同一套系統啊... 哪有那麼好破
05/24 11:13, 4F
05/24 11:15, , 5F
現在garena的智慧型手機密碼鎖app宣稱”不用連網路也
05/24 11:15, 5F
05/24 11:17, , 6F
能得到驗證碼,缺少跟server交換資訊,可能有重大漏
05/24 11:17, 6F
05/24 11:18, , 7F
我在上篇也漏了e(艸
05/24 11:18, 7F
05/24 11:26, , 8F
智慧手機驗證碼產生器原始設定就是不用連網路
05/24 11:26, 8F
05/24 11:26, , 9F
防君子不防小人 可能盜帳也是這麼一回事
05/24 11:26, 9F
05/24 11:27, , 10F
只好彈蛋蛋了
05/24 11:27, 10F
05/24 11:27, , 11F
只要啟用產生器前有做序號碼連結
05/24 11:27, 11F
05/24 11:48, , 12F
上面自爆了 0_0
05/24 11:48, 12F
05/24 11:49, , 13F
這篇比較實在 XD 上篇作者不來這討論,在上面搞自爆做啥XD
05/24 11:49, 13F
05/24 11:49, , 14F
最後根本鬼打牆,可惜了
05/24 11:49, 14F
05/24 11:50, , 15F
信任此裝置其實只是一種節省對方發送簡訊成本的方式而已
05/24 11:50, 15F
05/24 11:51, , 16F
因為那個簡訊費是對方付的
05/24 11:51, 16F
05/24 11:51, , 17F
上面那篇的作者不是前陣子才發文憤怒的說不玩了嗎
05/24 11:51, 17F
05/24 11:51, , 18F
原文的裝懂防火牆被破解了 只好自爆
05/24 11:51, 18F
05/24 11:52, , 19F
信任此裝置是用你電腦上的特徵碼跟IP去建立一個驗證檔案
05/24 11:52, 19F
05/24 11:53, , 20F
伺服器是會對那個檔案做MD5檢查是不是一致
05/24 11:53, 20F
05/24 11:53, , 21F
假設是拿到原檔案好了 那就表示你已經中木馬被盜了
05/24 11:53, 21F
05/24 11:54, , 22F
那再假設檔案是假造的好了 問題是動一個碼MD5值就對不起來
05/24 11:54, 22F
05/24 11:55, , 23F
就跟伺服器端的檔案不一樣 這樣也沒用
05/24 11:55, 23F
05/24 11:56, , 24F
好吧 不會用md5 md5太弱了
05/24 11:56, 24F
05/24 11:56, , 25F
還有G社用的是比較單純的被動式OTP B社用的是比較先進的
05/24 11:56, 25F
05/24 11:56, , 26F
原本的信任應該是這樣沒錯
05/24 11:56, 26F
05/24 11:57, , 27F
動式OTP 這兩者還是有點差別
05/24 11:57, 27F
05/24 11:58, , 28F
可是我回家用我弟的nb 沒勾信任也自動變信任這就..
05/24 11:58, 28F
05/24 12:01, , 29F
等一下..OTP有分主被動? 能不能給個資料參考一下
05/24 12:01, 29F
05/24 12:06, , 30F
你可以GOOGLE一下主動式OTP跟簡訊式OTP這兩者的資料比對
05/24 12:06, 30F
05/24 12:16, , 31F
其實這篇根本就是同意上篇的說法吧 卻可以說的好像是在
05/24 12:16, 31F
05/24 12:16, , 32F
罵批評上篇作者... 有點威
05/24 12:16, 32F
05/24 12:20, , 33F
Mystiera>搞不好你弟有在玩
05/24 12:20, 33F
05/24 12:55, , 34F
那篇看起來只是某個廠商的商業文阿...
05/24 12:55, 34F
05/24 12:55, , 35F
給TCB:http://ppt.cc/6uqQ 參考一下
05/24 12:55, 35F
05/24 12:56, , 36F
他說的方式是網頁產生認證碼->手機打簡訊送 超麻煩...
05/24 12:56, 36F
05/24 12:56, , 37F
&bz是使用app的OTP..不是這種的
05/24 12:56, 37F
05/24 12:59, , 38F
穩定成本是因為業者的簡訊費用轉嫁到使用者身上XD
05/24 12:59, 38F
05/24 13:04, , 39F
嗯 我沒跟到 上一篇怎麼刪了?有八卦?
05/24 13:04, 39F
05/24 13:05, , 40F
沒有備份到全部 http://ppt.cc/7e_H
05/24 13:05, 40F
05/24 13:07, , 41F
上一篇原文是在說因為驗證檔是存在client端 所以容易
05/24 13:07, 41F
05/24 13:07, , 42F
被盜 我的重點是擺在"信任此裝置"上..
05/24 13:07, 42F
05/24 13:08, , 43F
不可否認server端的確難攻破 但說client端隨便就能
05/24 13:08, 43F
05/24 13:08, , 44F
偽裝也太草率
05/24 13:08, 44F
05/24 13:08, , 45F
他也是說"信任此裝置"出問題啊...
05/24 13:08, 45F
05/24 13:09, , 46F
而且這篇你不是也同意在client端比較容易被破解
05/24 13:09, 46F
05/24 13:09, , 47F
我弟有在玩 他有信任 結果我用他電腦登入我的帳號
05/24 13:09, 47F
05/24 13:09, , 48F
嗯?他有提到是這個機制有問題嗎?那大概是我解讀錯
05/24 13:09, 48F
05/24 13:10, , 49F
一開始OTP輸入以後就自動信任了 這是安全性的疑慮
05/24 13:10, 49F
05/24 13:10, , 50F
也可能是我解讀錯啦
05/24 13:10, 50F
05/24 13:11, , 51F
Mystiera沒勾信任喔..那真是太扯= =
05/24 13:11, 51F
05/24 13:11, , 52F
主要是他之後回復說"每次都需要驗證沒安全感"
05/24 13:11, 52F
05/24 13:11, , 53F
這句話怎麼看怎麼怪QQ
05/24 13:11, 53F
05/24 13:11, , 54F
信任此裝置指的是"你信任此台電腦可以用來合法登入"
05/24 13:11, 54F
05/24 13:12, , 55F
My大 妳是說你弟用妳的帳號 勾選信任後登入嗎?
05/24 13:12, 55F
05/24 13:12, , 56F
沒勾信任就應該要每次都要輸入才是合理的..明顯有bug?
05/24 13:12, 56F
05/24 13:12, , 57F
還是用他的帳號勾選信任 結果妳的帳號也可以登入?
05/24 13:12, 57F
05/24 13:13, , 58F
如果是後者..靠 那這問題超大 等於他不認帳號認系桶
05/24 13:13, 58F
05/24 13:13, , 59F
貓蛋大 這又有另一個問題 合法登入是指任何帳號?
05/24 13:13, 59F
05/24 13:14, , 60F
還是單一帳號?My大那狀況很像是任何帳號..
05/24 13:14, 60F
05/24 13:16, , 61F
常規判斷都是以單帳號討論 但問題是有些人常有兩個帳號以上
05/24 13:16, 61F
05/24 13:21, , 62F
但不同帳號的驗證碼基本上應該要不一樣才會比較安全
05/24 13:21, 62F
05/24 13:22, , 63F
可是如果驗證碼=機器識別碼這就有討論空間了
05/24 13:22, 63F
05/24 13:26, , 64F
貓蛋耶(捏爆
05/24 13:26, 64F
05/24 13:31, , 65F
掐掐不要亂捏爆
05/24 13:31, 65F
05/24 13:37, , 66F
沒仔細看內容 不過同電腦不同帳號 都要認證
05/24 13:37, 66F
05/24 13:37, , 67F
即便A帳號認證勾信任 B帳號登入一樣要重新認證
05/24 13:37, 67F
05/24 13:38, , 68F
原原文自爆是因為原本的討論變成他用問句回答別人的問題
05/24 13:38, 68F
05/24 13:39, , 69F
正常是要這樣沒錯 但是我的經驗是這樣 所以才會提出來
05/24 13:39, 69F
05/24 13:39, , 70F
這不叫討論這叫質問 其實好好討論才比較有教學相長的效果
05/24 13:39, 70F
05/24 13:40, , 71F
我弟偶爾會抓一些有的沒的東西 所以在家我都會把打勾取消
05/24 13:40, 71F
05/24 13:40, , 72F
可是忽然他就不需要輸入OTP了(攤手)
05/24 13:40, 72F
05/24 13:42, , 73F
我比較有疑慮的 是假使別人知道我的帳密 遇到手機認證時
05/24 13:42, 73F
05/24 13:44, , 74F
輸入錯誤會有甚麼懲罰? 如果沒有有沒有可能試出認證碼?
05/24 13:44, 74F
05/24 13:57, , 75F
這種認證碼通常都會有時間限制 過了就失效
05/24 13:57, 75F
05/24 14:09, , 76F
plut大基本上這不必擔心 基本上認證碼有效時間是30秒
05/24 14:09, 76F
05/24 14:10, , 77F
少數是1~2分鐘 這麼短得時間很難試出來
05/24 14:10, 77F
05/24 14:11, , 78F
任何加密方式要破解 都必須先通過限制時間這一關
05/24 14:11, 78F
05/24 14:12, , 79F
這也是為啥RSA曾經懸賞20萬美金找人來破解自家產品
05/24 14:12, 79F
05/24 14:12, , 80F
但是還是沒人能破的了的原因
05/24 14:12, 80F
05/24 14:13, , 81F
當然要猜出質數也是很花功夫就是
05/24 14:13, 81F
05/24 15:09, , 82F
如果多次輸入錯誤驗證碼會被鎖一小時,不用怕別人無限try
05/24 15:09, 82F
05/24 15:12, , 83F
有次到了網咖才發現手機認證掛掉時,發現這機制的QQ
05/24 15:12, 83F
05/24 15:26, , 84F
G! 那就不煩惱了 感謝諸君解答www
05/24 15:26, 84F
更多 silencedance 的文章
文章代碼(AID): #1Hdiwgzz (DNF)
討論串 (同標題文章)
完整討論串 (本文為第 3 之 3 篇):
排序: 最舊先 | 最新先 | 留言數
閒聊
16
33
[閒聊] 盜帳號 盜帳號
abenacci
11年前, 05/16
在新視窗開啟完整討論串 (共3篇)
更多 silencedance 的文章
文章代碼(AID): #1Hdiwgzz (DNF)