Re: [心得] 在瀏覽器上使用OTP解鎖

看板RO作者lf2net4589 (Ray)時間4年前 (2021/08/18 22:22)推噓6(6推 0噓 0→)

留言6則, 6人參與討論串3/3 (看更多)

有鑑於一般使用者對於Google Auth的認識不足，這邊還是提醒一下，Google Auth的設計是以一組雜湊密碼搭配現實世界的時間，每15~60秒運算出6~8位數的隨機密碼。以下幾點要注意： 1.Google Auth是離線式的設計，如果安裝App的裝置因故無法取得隨機密碼，如果沒有保留雜湊密碼，只能透過帳號的官方客服去辦理解除OTP，如果有保留雜湊密碼則可在新裝置的Google Auth重新加入該帳號並產生隨機密碼。 2.第1點提到，因為Google Auth是離線式設置，更換裝置會需要雜湊密碼，但是雜湊密碼在第一次設定加入時是以明碼的方式呈現給使用者，如果操作系統環境本身就已經是不乾淨的情況下，一樣會被盜取帳號、密碼、雜湊密碼，另外有使用者備份雜湊密碼是使用未加密的文字檔，例如未加密的word, PDF, txt檔案，這樣被盜取的機率也很大。 3.2FA的密碼產生方式因為與真實世界時間有關，所以裝置的時間不能偏離伺服器時間太多。 4.防毒軟體一定要裝，現在的攻擊行為仍舊需要使用者放行後門軟體進入系統，但後門軟體進入系統不一定是來自不知名的檔案，例如：英雄聯盟更新檔，所以務必買一套防毒軟體，如果一套覺得太貴，看看你的角色投資了多少心力，如果不是很懂防毒設定，推薦芬安全、趨勢科技，這兩套幾乎是安裝完後不用設定，有甚麼問題可以再回覆或私信問我，有空我會回。目前有線上式的2FA軟體Authy，基礎是建立在Google Auth的演算法，加上Authy本身的伺服器達成2FA軟體跨裝置運作查看隨機密碼，優缺點如下：優點： 1.跨裝置運作，只需要一組主帳號、密碼跟同步密碼，不用再手動備份雜湊密碼轉移到新裝置，除非Authy公司倒了。缺點： 1.因為是使用帳號、密碼、同步密碼做到跨裝置支援，那麼就需要無條件相信Authy的資安能力。注意事項： 1.使用者常常把主帳號設為過往或常用的帳號與密碼，導致被破譯。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.252.131.195 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/RO/M.1629296520.A.903.html

推

IBjoKer

08/19 09:48, 4年前 , 1^F

08/19 09:48, 1^F

推

j50508

08/19 10:11, 4年前 , 2^F

08/19 10:11, 2^F

推

qkonno

08/19 14:07, 4年前 , 3^F

08/19 14:07, 3^F