※ 本文為 ott 轉寄自 ptt.cc 更新時間: 2015-01-14 14:22:06
看板 Soft_Job
作者 flyingIdea (飛翔的想法)
標題 [閒聊] 大家網站帳密的資安怎麼做的?
時間 Wed Jan 14 13:18:06 2015


這應該是一個從法老王時代就有在討論的話題

因為我沒有相關經驗 所以想來問問各位這個問題....

我聽到的作法大多是架HTTPS就有60分

再配合OAuth等等的技術?

只是先前我去參加一個討論

主持人問"台下公司有買HTTPS憑證

         架HTTPS給client端用的人請舉手"

竟然只有1/30 Orz

所以我想請問一下 大家網站的帳密資安部份都是怎麼處理的?

是自幹還是用有spec 的方法?

------

主要是我參加了那場討論

想知道現在有多少公司是用正規做法 還是自幹的比較多@@!!

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.67.93
※ 文章代碼(AID): #1KjVmH3U (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1421212689.A.0DE.html
robler: 公司內部為啥需要https1F 01/14 13:19
robler: 有連外的才需要吧
flyingIdea: 我指的是給client用的帳密那部份 可能我文寫的不清楚3F 01/14 13:20
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:23:04
ccpz: 遇上使用者擺爛,密碼只想用四位數字時,什麼安全都沒用4F 01/14 13:34
robler: 郵局帳戶也是四位數字密碼 怎麼沒被人盜光光?5F 01/14 13:39
knives: 推樓上,不過應該可以檢查強度吧6F 01/14 13:40
robler: 密碼複雜度只是資安裡的一小部份 只有最不負任的管理者7F 01/14 13:41
robler: 才會一昧的要求使用者用更複雜的密碼
uranusjr: 郵局四位密碼要臨櫃才能用吧, 金融卡是六位9F 01/14 13:42
robler: 真正因為密碼被暴力破解的資安事件...真的有嗎10F 01/14 13:44
hSATAC: 不太懂你的故事跟你想問什麼...11F 01/14 13:44
flyingIdea: 四位密碼還有一個原因是因為錯3次會被鎖卡吧?12F 01/14 13:47
flyingIdea: 網路你可以一直TRY到密碼正確為止 少部份的網站才會
flyingIdea: 鎖你的帳密
noonOut: 你如果是想 cover 傳輸密碼的部分,就 oauth 就好15F 01/14 13:48
flyingIdea: 我想問的是關於帳密資安的部份大家是怎麼做的16F 01/14 13:48
flyingIdea: 包括authorization communication ....等等的動作
flyingIdea: 大家公司的做法是怎樣 是用網路上的還是自幹?
flyingIdea: OAUTH我查了一下 好像也是建議要用HTTPS來傳?
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:57:47
TonyQ: @robler 有小道消息指出前陣子的 icloud 事件 最大嫌疑是這20F 01/14 13:56
TonyQ: 郵局帳戶之所以沒有被盜光,是因為 try 三次就結束。
TonyQ: 密碼強度的確不是最重要的事,有周邊條件就可以不用太強。
LINGZ: 一樓對於公司內部不用https的觀念不是很好.23F 01/14 14:13

--
※ 看板: ott 文章推薦值: 0 目前人氣: 0 累積人氣: 617 
guest
x)推文 r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇