※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2024-03-13 16:08:10
看板 C_Chat
作者 標題 [閒聊] 不為人知的工程師內幕
時間 Wed Mar 13 10:16:08 2024
不為人知的工程師內幕
https://i.imgur.com/8IQl4hC.jpg
![[圖]](https://imgur.disp.cc/3V/8IQl4hC.jpg)
0_o
乾我真的看不懂
有沒有工程師能解釋一下XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.214.154 (臺灣)
※ 作者: KyrieIrving1 2024-03-13 10:16:08
※ 文章代碼(AID): #1byGngDy (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710296170.A.37C.html
推 : 為什麼密碼對了和第一次登入是帳號或密碼錯誤啊1F 03/13 10:17
→ : 就是你第一次帳號密碼打對了,還是會跟你說登入錯2F 03/13 10:17
→ : 誤,要你再試一次
→ : 誤,要你再試一次
推 : 你第一次登入的時候不管你密碼打對還是打錯都給你錯誤4F 03/13 10:17
→ : 這是某種防盜機制 避免你用機器人洗密碼測試
→ : 因為你第一次錯誤了 機器人就會當作這密碼不能用 跳過這
→ : 一組
→ : 這是某種防盜機制 避免你用機器人洗密碼測試
→ : 因為你第一次錯誤了 機器人就會當作這密碼不能用 跳過這
→ : 一組
推 : 你有沒有遇過那種明明輸入過跟你講錯,試了好幾個密碼繞8F 03/13 10:18
→ : 一圈又回到一開始的密碼就正確了的狀況
→ : 一圈又回到一開始的密碼就正確了的狀況
推 : 插USB孔的概念10F 03/13 10:18
→ : 很爛 使用體驗也很糟 但對防盜而言很實用XD11F 03/13 10:18
→ : 以前有個故事是,會故意第一次阻擋你登入,然後檢12F 03/13 10:19
→ : 查第二次輸入的資訊跟第一次對不對,判斷你是不是
→ : 真的記得帳號密碼
→ : 查第二次輸入的資訊跟第一次對不對,判斷你是不是
→ : 真的記得帳號密碼
→ : 防止暴力破解密碼,但使用者會懷疑人生的設計15F 03/13 10:19
推 : 防暴力破解有用但是很靠北16F 03/13 10:20
→ : 暴力破解密碼:密碼有100,000種可能,那就試100,000次17F 03/13 10:20
推 : 然後再多加個失敗三次鎖定N時間對吧18F 03/13 10:20
推 : 原來如此19F 03/13 10:21
推 : 圖片上面有寫啊,防止暴力破解20F 03/13 10:21
→ : 對機器人有用,但但我很不友善21F 03/13 10:21
推 : 就有效但使用者體驗極差的設計22F 03/13 10:21
→ : 靠腰,我已經養成不太看註解的習慣了...23F 03/13 10:21
→ : 假設機器人設定四位數數字密碼,他會從0000~9999每次+124F 03/13 10:21
→ : 類似的機制還有三次錯誤就冷卻15分,期間不管怎麼試就算25F 03/13 10:22
→ : 是試到正確的也跳密碼錯
→ : 是試到正確的也跳密碼錯
→ : 去嘗試,如果你密碼是1111,那機器人從1110失敗後會+1變27F 03/13 10:22
→ : 1111,然後雖然密碼對了但是是初次登入,所以還是會失敗
→ : 這時機器人就會+1嘗試1112,但1111就永遠不會再試了
→ : 1111,然後雖然密碼對了但是是初次登入,所以還是會失敗
→ : 這時機器人就會+1嘗試1112,但1111就永遠不會再試了
推 : 如果是錯三次會鎖住的 這種設計就是搞人30F 03/13 10:23
→ : 因為每個地方密碼要求不同 用的就可能好幾組
→ : 因為每個地方密碼要求不同 用的就可能好幾組
→ : 但資安就是防盜優先便利性就是了32F 03/13 10:24
→ : 我試第一次錯了我會以為我用的是別組去試別組33F 03/13 10:24
→ : 所以你要搞這套你密碼就不要要求一堆
→ : 所以你要搞這套你密碼就不要要求一堆
→ : 我怎麼覺得這應該會有效,持有者會很問號而已XD35F 03/13 10:24
推 : 安全和便利一向是互斥的,沒辦法36F 03/13 10:24
→ : 儘管資安永遠是人最不安全(37F 03/13 10:24
推 : 只能說很有效的防止了機器人的 Brute-force,但會讓使用38F 03/13 10:25
→ : 者想對開發者 Brute-force
→ : 者想對開發者 Brute-force
→ : 什麼英文也有大小寫 要有特殊符號的都是搞人40F 03/13 10:25
推 : 幾種密碼換著用的人會很幹41F 03/13 10:25
→ : 特別是又要你定期換密碼的,遇上這個真的會懷疑人生42F 03/13 10:25
推 : 就是你常常第一次登入都覺得沒按對的原因啊wwww43F 03/13 10:25
→ : 這圖超久44F 03/13 10:25
→ : 所以這確實對於暴力解法有效果 但使用者體驗會很差45F 03/13 10:25
→ : 其實這張圖還有個重點,這個機制是秘密的,因為如果突出46F 03/13 10:26
→ : 的訊息是能分辨,那就無法防止機器人了
→ : 的訊息是能分辨,那就無法防止機器人了
→ : 你要防暴力破解 你就不要對密碼有任何設定限制48F 03/13 10:26
→ : 現在低標大都要求大小寫+數字了吧49F 03/13 10:26
推 : 結果搞到鎖密碼 那才好笑50F 03/13 10:26
→ : 但除非機器人第一次就打對,不然還是沒用吧51F 03/13 10:26
推 : 這個真的會讓使用者體驗很差52F 03/13 10:27
→ : 資安最大的問題就是人,然而狗官為了彰顯自己不同都想辦法53F 03/13 10:27
→ : 還有地方密碼不給升冪降冪的 有病54F 03/13 10:27
推 : 現在真正靠北的反而是只能大小寫+數字不能用符號的反而要55F 03/13 10:27
→ : 另外想密碼
→ : 另外想密碼
→ : 不是,這個機器人必須設計成,單一密碼要試2次才行57F 03/13 10:27
→ : 把自己放例外,如果不能從上而下確實落實,那資安都是屁58F 03/13 10:27
推 : 「如果密碼正確,而且是第一次嘗試登入,回應密碼59F 03/13 10:27
→ : 輸入錯誤」
→ : 輸入錯誤」
→ : 我就很討厭要求大小寫啊 要求數字我就算了61F 03/13 10:27
推 : 很討厭但很有用62F 03/13 10:27
→ : 任何事情都一樣,上樑不正下樑一定歪63F 03/13 10:27
→ : 要求大小寫變成我要記得哪些地方的密碼要大小寫64F 03/13 10:28
→ : 像上面那個0000-9999的案例,機器人必須連打兩次111165F 03/13 10:28
→ : 才能登入成功,否則他的0000-9999全部失敗
→ : 才能登入成功,否則他的0000-9999全部失敗
→ : 但有設錯誤上限的凍結時間就很好笑了67F 03/13 10:28
→ : 每一次打的前兩組就是一個有分大小寫一個沒有68F 03/13 10:28
推 : 大小寫很有用但是很痛苦69F 03/13 10:28
推 : 原來這招是為了防盜喔?!70F 03/13 10:29
→ : 難怪沒錯都打錯71F 03/13 10:29
→ : 不過的確欸 如果只是第一次登入錯誤 其實防止暴力破解72F 03/13 10:29
→ : 的能力蠻有限的 應該要用不管什麼密碼第一次一定錯
→ : 的能力蠻有限的 應該要用不管什麼密碼第一次一定錯
→ : 最好笑的是 整天說那些密碼最容易被破 啊我用最簡74F 03/13 10:29
→ : 單的密碼都沒被破鍋 騙自己嗎
→ : 單的密碼都沒被破鍋 騙自己嗎
→ : 搞使用者76F 03/13 10:29
推 : 最低標是大寫英數字,再來就特殊符號77F 03/13 10:29
→ : 然後是不能111 123 abc zxc
→ : 然後是不能111 123 abc zxc
→ : 太噁心人了吧==79F 03/13 10:30
推 : 原來不是我記錯 真是謝謝喔80F 03/13 10:30
推 : 其實現在一堆莫名奇妙的圖片防盜好像沒比這招好81F 03/13 10:30
推 : 如果是db外洩通常就是拿著帳號密碼表用機器人試一輪通常82F 03/13 10:30
→ : 錯了就直接換下一組了
→ : 錯了就直接換下一組了
→ : 圖片防盜是要測你是不是機器人84F 03/13 10:30
→ : 現在AI訓練已經到辨識率比人工高了85F 03/13 10:31
推 : 暴力破解是去嘗試所有可能啊,所以一組通常不會試兩次86F 03/13 10:31
→ : 安全機制這種東西不就是以防萬一嗎?87F 03/13 10:31
推 : 這會連正常使用者都一起擋掉,因為即使這網站不設密碼限88F 03/13 10:33
推 : 我可以理解資安的立場 但我是使用者我就是不爽被搞89F 03/13 10:33
推 : 有效但 但心情會很糟90F 03/13 10:33
→ : 所以這登入機制是你暴力破解中也當成錯的,就繼續下一91F 03/13 10:33
→ : 組了,應該是可以防禦才對
→ : 組了,應該是可以防禦才對
→ : 制,但其他網站有啊!而且每個網站的限制還不一樣,無法同93F 03/13 10:33
推 : 很噁心 但是這是用人性去攻擊機器人94F 03/13 10:33
→ : 因為就是浪費我時間 增加我困擾95F 03/13 10:33
推 : 你會設定機器人每組密碼都要連試兩次的話,工程師就會設96F 03/13 10:34
→ : 三次
→ : 三次
→ : 密碼走天下,所以輸入錯誤也只會讓使用者換下個密碼,然98F 03/13 10:34
→ : 後就鬼打牆了
→ : 後就鬼打牆了
推 : 搞機器人這招真的有用可是有夠噁心人w100F 03/13 10:34
推 : 這不就是標準的:懲罰合法使用者嗎?101F 03/13 10:35
→ : 使用者輸入正確密碼要被連擋三次,這網站應該會倒102F 03/13 10:35
推 : 設三次大概會被負評灌爆吧103F 03/13 10:35
→ : 你還是換個資安方案吧104F 03/13 10:35
推 : 啊為什麼有病105F 03/13 10:36
推 : 這招只能用一次,需要加到第二次就該換方法了,不然就跟106F 03/13 10:36
→ : 現在的圖形辨識一樣在懲罰使用者
→ : 現在的圖形辨識一樣在懲罰使用者
推 : 再配上要求定期換密碼+不能用和最近N次相同的密碼108F 03/13 10:36
推 : 我要吐了 這三小109F 03/13 10:37
→ : 最安全的還是兩階段驗證吧110F 03/13 10:38
→ : 還要大小寫英數字及至少一個特殊符號111F 03/13 10:38
→ : 兩階段驗證對那種需要共用登入的也很麻煩就是wwww112F 03/13 10:38
→ : 就一個系統需要很多人來維運的
→ : 名義上很多人join但實際上只有小貓2隻會管
→ : 就一個系統需要很多人來維運的
→ : 名義上很多人join但實際上只有小貓2隻會管
→ : 多人維護的也很多用二階段阿 加入時資安提供token就好115F 03/13 10:40
推 : 共用登入要安全通常都是一定時間內產生一組隨機密碼吧116F 03/13 10:40
→ : 有權限的才能看到這密碼
→ : 有權限的才能看到這密碼
→ : 2fa不是綁帳號嗎正常應該是每個人的都不一樣118F 03/13 10:41
推 : 圖形認證也是防機器+搞人,但就是資安VS便利性119F 03/13 10:41
→ : 其實也有設計法是錯誤3次以上時才要求圖像驗證
→ : 其實也有設計法是錯誤3次以上時才要求圖像驗證
→ : 現在圖形辨識已經沒用了因為AI辨識率更高所以又化繁為簡121F 03/13 10:43
→ : 改成用簡單的圖形辨識從行為判斷是不是人工
→ : 改成用簡單的圖形辨識從行為判斷是不是人工
→ : 因為你擁有者要打兩次密碼才能登入吧XD123F 03/13 10:44
推 : 不是啊 你知道這招的話你讓機器人每個密碼試兩次就可以了124F 03/13 10:46
→ : 啊
→ : 啊
推 : 我覺得google有實裝這個東西 要強迫使用者換密碼126F 03/13 10:48
推 : 旁邊的一個把頭髮扯爛 一個瞬間白髮XD127F 03/13 10:48
推 : 要打對二次密碼128F 03/13 10:48
推 : 懲罰正常使用者啊w129F 03/13 10:50
推 : 幹還有這種功能130F 03/13 10:52
推 : 確實有用XD131F 03/13 10:53
推 : 超壞132F 03/13 10:54
推 : 蘋果的 iTunes 登入就要打兩次密碼,不過第一次打對並沒133F 03/13 10:54
→ : 有跳錯誤訊息,而是同樣提問視窗要輸入密碼
→ : 有跳錯誤訊息,而是同樣提問視窗要輸入密碼
推 : 那我不自己記密碼,都用密碼管理怎麼辦135F 03/13 10:56
→ : 幹 這有病 當我打個長串密碼結果是錯的 會崩潰136F 03/13 10:56
→ : 這種再配上次數限制才是蝦仁豬心137F 03/13 10:57
→ : 加上有些使用者已經被養成錯三次密碼帳號就會被鎖138F 03/13 10:57
推 : 跳錯誤我會以為自己記錯,根本搞人= =139F 03/13 10:58
→ : 防暴力破解但有用140F 03/13 10:58
推 : 原來不是我手殘啊(X141F 03/13 10:59
推 : 太有道理了 我也真是謝謝你142F 03/13 10:59
推 : 有點白癡但防盜應該有用XD143F 03/13 11:00
推 : 簡單的防盜144F 03/13 11:02
![[圖]](https://imgur.disp.cc/3V/F0vUrld.jpg)
推 : 那機器人只要每組試兩次不就好了0.0146F 03/13 11:04
推 : 真的有人這樣做喔?147F 03/13 11:05
→ : 害我以為自己打錯
→ : 害我以為自己打錯
→ : 不是都用雙重機制了嗎?149F 03/13 11:06
噓 : 有用個屁啊,就會去試別的直到最後被鎖150F 03/13 11:06
→ : 知道規則就沒用了151F 03/13 11:07
推 : ??那有用網頁記憶密碼的怎辦?這樣還錯,不就會讓人發152F 03/13 11:07
→ : 現第一次一定錯誤了嗎?
→ : 現第一次一定錯誤了嗎?
→ : 這很容易破解吧 駭客只要自己也有個帳號 然後去嘗試該網154F 03/13 11:09
→ : 站是不是有用這個機制 接著就能把機器人設定試二次就好
→ : 終究還是二階段認證比較實用
→ : 站是不是有用這個機制 接著就能把機器人設定試二次就好
→ : 終究還是二階段認證比較實用
推 : 相當反人性但對資安有用157F 03/13 11:11
推 : 太狠了158F 03/13 11:11
→ : 如果網站可以個別設定要不要啟用這機制 就不好破解了159F 03/13 11:12
推 : 機器人也可以進步的啊,未來變成機器人學會試十次人類只160F 03/13 11:15
→ : 好都輸入十一次?然而人類會被煩死機器人不會
→ : 好都輸入十一次?然而人類會被煩死機器人不會
推 : 防機器人用162F 03/13 11:17
推 : 感謝4樓解釋,我一直不懂有個常用的網站為什麼會這樣,163F 03/13 11:19
→ : 現在突然覺得很合理了
→ : 現在突然覺得很合理了
推 : 喔我學校郵件的帳號也是這樣165F 03/13 11:19
推 : 我幹你娘 登入公司系統WiFi每次都跟我說密碼錯誤166F 03/13 11:24
→ : 還要重開機一次的原因是這喔
→ : 還要重開機一次的原因是這喔
→ qize1428 …
推 : 媽的看到就有氣 我的密碼自己都有筆記本紀錄,但今天早170F 03/13 11:26
→ : 上微軟就跟我說我密碼錯誤硬要我重設。
→ : 上微軟就跟我說我密碼錯誤硬要我重設。
推 : 這東西前提是駭客沒用這個網站吧 不然每次登入第一次172F 03/13 11:27
→ : 都被擋一定會發現
→ : 都被擋一定會發現
推 : 對我這種有三四種密碼在換的人有夠不友善,這樣我只會想174F 03/13 11:32
→ : 不起來用哪組
→ : 不起來用哪組
推 : 感覺蠻有用的欸 但一定被靠北176F 03/13 11:35
→ : 可以個別設定要不要啟用這機制? 這沒差啊 駭客看設定知177F 03/13 11:40
→ : 道有沒有這機制後 結果還是一樣 反正就讓機器人嘗試2次
→ : 然後沒開啟這機制的用戶 還不是一樣第一次嘗試就能進
→ : 道有沒有這機制後 結果還是一樣 反正就讓機器人嘗試2次
→ : 然後沒開啟這機制的用戶 還不是一樣第一次嘗試就能進
推 : 就算今天本人在輸,不知道這件事的情況看到跳錯誤也不一定180F 03/13 11:53
→ : 會直接重輸一次,可能懷疑自己組合哪裡記錯改輸不一樣的啊
→ : ,那不就反而過不了...
→ : 會直接重輸一次,可能懷疑自己組合哪裡記錯改輸不一樣的啊
→ : ,那不就反而過不了...
推 : 我會以為我用別組密碼 最後試到懷疑人生183F 03/13 12:00
→ : 這邏輯沒問題 哈184F 03/13 12:06
推 : 這個應該會設計成初次輸入對的不計入登入失敗吧?185F 03/13 12:08
→ : 不然信箱一堆登入失敗的信誰受得了
→ : 不然信箱一堆登入失敗的信誰受得了
推 : 金價五擊敗!!187F 03/13 12:11
推 : 等等這機制是真實存在的嗎?!188F 03/13 12:21
推 : 幹太靠北了吧189F 03/13 12:24
推 : 用我不是機器人不就好了190F 03/13 12:31
推 : 這個好吧191F 03/13 12:31
→ : 這個機制根本只會擴大資安漏洞,因為使用者收不到正192F 03/13 12:32
→ : 回饋就會記憶混亂,記憶混亂就會貼便條紙記帳密,最
→ : 後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所
→ : 有反人類的管制機制最終都只會傷害資安
→ : 以月為單位頻繁更換密碼同理
→ : 回饋就會記憶混亂,記憶混亂就會貼便條紙記帳密,最
→ : 後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所
→ : 有反人類的管制機制最終都只會傷害資安
→ : 以月為單位頻繁更換密碼同理
推 : 太靠北了197F 03/13 12:34
推 : 水喔198F 03/13 12:39
推 : 擊敗有用 但有更好的方法199F 03/13 12:41
推 : 這個弱掃應該就不會過了200F 03/13 12:46
推 : 機器人可以從世界各地猜密碼,便條紙只有身邊的人挖得到201F 03/13 12:55
→ : 確實能強化資安,結案。
→ : 確實能強化資安,結案。
推 : 真的是brute-force 就是會收到大量檢舉203F 03/13 12:58
推 : 知道要打2次就能破解了 有什麼用啊204F 03/13 13:01
→ : 只是讓使用者懷疑人生
→ : 只是讓使用者懷疑人生
推 : 因為暴力破解不會重複嘗試相同密碼206F 03/13 13:06
→ : 但是記得密碼的人會
→ : 但是記得密碼的人會
推 : 我感覺我遇過..208F 03/13 13:11
推 : 現在很多人的密碼都是長得差不多但些微的不一樣,遇到209F 03/13 13:13
→ : 這個很容易就被鎖,哭啊
→ : 這個很容易就被鎖,哭啊
噓 : 爛方法,在搞正常使用者211F 03/13 13:20
推 : 真的有病 以為自己記錯密碼 各種大小寫繞一圈到最後212F 03/13 13:27
→ : 發覺還是本來的密碼 尼瑪德
→ : 發覺還是本來的密碼 尼瑪德
→ : 你那機器人哪知道誰沒開啟這機制啊? 當然有差啊...214F 03/13 13:30
→ : 你是以為第一次就能駭進去了是不是....
→ : 你的機器人第一次試錯了 要怎麼知道機制有開還沒開?
→ : 你說試兩次 你這兩次的時間要多久?
→ : 你是以為第一次就能駭進去了是不是....
→ : 你的機器人第一次試錯了 要怎麼知道機制有開還沒開?
→ : 你說試兩次 你這兩次的時間要多久?
推 : 不看推文還以為這只是一個笑話 居然真的拿來連一般218F 03/13 13:32
→ : 使用者都擋? 難怪Adobe和微軟每次忘記密碼重設都
→ : 說我不能用當前的密碼 幹他媽的垃圾公司
→ : 使用者都擋? 難怪Adobe和微軟每次忘記密碼重設都
→ : 說我不能用當前的密碼 幹他媽的垃圾公司
推 : 爛方法沒錯,靠盃我密碼好幾組,看到錯誤我一定是換221F 03/13 13:33
→ : 一個密碼試==
→ : 一個密碼試==
→ : 第一次一定錯太明顯了,要加個亂數223F 03/13 13:37
推 : 超智障,什麼年代還在暴力破解,擋到的只有人而已,大224F 03/13 13:46
→ : 小寫符號只是增加忘記密碼的使用頻率
→ : 小寫符號只是增加忘記密碼的使用頻率
→ : 上面就說不用管使用者有沒有開啊 只要知道有這機制就夠226F 03/13 13:47
→ : 重新改密碼還顯示不能跟舊密碼相同真的超哭227F 03/13 13:48
→ : 了 知道後不管誰都嘗試兩次:1.使用者沒開 那機器人第一228F 03/13 13:48
→ : 次嘗試就登入了 根本不用再嘗試第二次 2.使用者有開 那
→ : 機器人第一次失敗 第二次就成功登入
→ : 這應該想像一下就懂了吧 所以才說根本沒差
→ : 次嘗試就登入了 根本不用再嘗試第二次 2.使用者有開 那
→ : 機器人第一次失敗 第二次就成功登入
→ : 這應該想像一下就懂了吧 所以才說根本沒差
推 : 超機車www232F 03/13 13:59
推 : google authenticator 就能解決的事情233F 03/13 14:40
推 : 原來有這種機制喔234F 03/13 15:25
推 : 有啊…只是使用者會覺得體驗很差235F 03/13 15:33
--
※ 看板: ACG 文章推薦值: 0 目前人氣: 0 累積人氣: 1477
作者 KyrieIrving1 的最新發文:
- 16F 6推
- 17F 12推 1噓
- 8F 6推
- 76F 23推 5噓
- 最近鋼彈圈有一個事件 也不知道算不算轟動 就是剛發售的MGSD 飛翼鋼彈 多家廠商告知消費者說大砍單 甚至有漲價的狀況 現貨甚至一隻2000上下 還有脆貼圖說跑去玩具店老闆 很肯定地說這隻要兩千塊 …72F 28推 6噓
點此顯示更多發文記錄
回列表(←)
分享