噗浪技術部🛠
@plurkwork
希望
Wed, Jul 12, 2017 5:07 AM
Wed, Jul 12, 2017 5:50 AM
985
2361
《噗浪帳號安全宣導》

大約從五月底開始,我們就發現有不明駭客,從世界各地大量入侵使用者的噗浪帳號,張貼垃圾文件並隨意亂加朋友或粉絲。

這些被駭客入侵的帳號,主要都是來自其他網站洩漏的帳號密碼,因為使用者在噗浪上面使用了與其他網站相同的帳號密碼,導致當帳號密碼在其他網站被洩漏後,被用來入侵噗浪的帳號。
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:07 AM
我們從網路上找到了幾份洩漏名單,加起來共有將近13億筆在過去許多知名網站數據外洩事件中被洩漏的帳號密碼,然後拿來比對噗浪的帳號密碼。結果非常驚人,共有超過70萬個噗浪帳號被發現因為密碼共用的緣故,在這些名單中被洩漏了。

然後我們也同時體檢了使用者密碼的難易度,有超過22萬個噗浪使用者使用了太過簡單的密碼,都很容易被入侵,例如帳號與密碼雷同、帳號與 E-Mail 雷同、使用某些太過簡單的密碼,例如 12345, password, plurk 等。

最後,為了避免駭客進一步的入侵,我們已經陸續要求這超過92萬的使用者都要重新設定密碼,才能繼續登入使用噗浪。
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:07 AM
Wed, Jul 12, 2017 5:14 AM
提醒各位噗友,儘量不要在各個網站間共用同一個密碼,也不要使用太簡單容易被猜到的密碼,更不要與帳號或 E-Mail 雷同。

如果您密碼被重設或者忘記密碼無法登入噗浪,請到
https://www.plurk.com/resetPassword
輸入您的帳號後重新設定密碼

也要麻煩大家隨時檢視自己在噗浪設定的 E-Mail 是否是可以運作的,否則萬一密碼忘記或被破解,技技們就要花很多功夫才能幫您找回帳號。
掰噗~
@baipu
Wed, Jul 12, 2017 5:08 AM
是喔 (p-surprised)
夏慕雲
@sharoy
Wed, Jul 12, 2017 5:08 AM
辛苦了!
🌟娹
@corss
Wed, Jul 12, 2017 5:08 AM
辛苦了!
莎夏
@vina74
Wed, Jul 12, 2017 5:08 AM
辛苦了!
純奶茶(`(エ)´)
@darknight_820
Wed, Jul 12, 2017 5:08 AM
辛苦了!
瑜玄✎
@getsuyou
Wed, Jul 12, 2017 5:08 AM
辛苦了!
書語
@gj1c063
Wed, Jul 12, 2017 5:09 AM
謝謝技技
木呆木!
@Glorie
Wed, Jul 12, 2017 5:09 AM
★ 勇者阿欣
@orange0509
Wed, Jul 12, 2017 5:09 AM
辛苦了 (cozy)
小宥韓諾非♣
@mogil1478
Wed, Jul 12, 2017 5:09 AM
辛苦了
杉蒔30💮
@p44455
Wed, Jul 12, 2017 5:09 AM
辛苦了QQ!!!!
s31606
@s31606
Wed, Jul 12, 2017 5:10 AM
辛苦了(!!!)
想睡喵
@yuku_black
Wed, Jul 12, 2017 5:10 AM
ㄐㄐ辛苦了!!
☆瑞☆
@daphne0424
Wed, Jul 12, 2017 5:10 AM
辛苦了~!
珞♪極東星區永不熄滅的勇氣
@e24354
Wed, Jul 12, 2017 5:10 AM
辛苦了!!
書呆抱大鳥♪缺錢昏死榮總♪
@henryu0228
Wed, Jul 12, 2017 5:10 AM
辛苦了
不死火鳳凰☆少陰/篁破中毒★
@FPhoenix8888
Wed, Jul 12, 2017 5:11 AM
辛苦了
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:11 AM
Wed, Jul 12, 2017 5:12 AM
過去噗浪對於密碼複雜度沒有很嚴格的要求,在這次清查中,我們發現有6萬多個噗友使用了123456或 123456789當作密碼,使用 password 或者 plurk 當作密碼的也都各有3千多人....
機器狼🔜茶會首次出毛!
@KMN_BOT
Wed, Jul 12, 2017 5:12 AM
洛式怪物鬼葬
@zombie0424
Wed, Jul 12, 2017 5:12 AM
辛苦了!
joecok
@joecok
Wed, Jul 12, 2017 5:13 AM
噗浪是唯一的
但密碼很簡單(喂
雖然不是密碼或123就是了
阿鬼
@GHOsTErMOme
Wed, Jul 12, 2017 5:14 AM
70萬筆帳號!?
哪個誰說噗浪用戶不到五萬的出來講
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:14 AM
Wed, Jul 12, 2017 5:16 AM
噗浪技術部🛠 : 不好意思,請問噗浪的密碼是只有單純使用 hash 加密嗎,不然為什麼可以統計出這些數字?還是說你們根本有另外存明碼?
蘇西!
@vcc10susi
Wed, Jul 12, 2017 5:14 AM
啊啊希望不要強制要求密碼格式,有些網站要求很機車根本不開個文檔記不起來
玄溟雲
@fernoangel
Wed, Jul 12, 2017 5:15 AM
辛苦了
■■■
@jenny121815
Wed, Jul 12, 2017 5:15 AM
辛苦了!!!
白菜(˙◇˙)隱居山林
@HAKUSAI0716
Wed, Jul 12, 2017 5:16 AM
辛苦你們了!!!!
【六天王之三】※二十葉
@Osoichi0104
Wed, Jul 12, 2017 5:17 AM
辛苦了(合掌
分次吃才會飽
@p124383
Wed, Jul 12, 2017 5:18 AM
辛苦了!!!
銀樹 Yínshù
@even5
Wed, Jul 12, 2017 5:18 AM
小范٩( 'ω' )و
@ivan35012
Wed, Jul 12, 2017 5:18 AM
列車長可可ʚ(˶ ´˘`˶)ु
@k2027kiki
Wed, Jul 12, 2017 5:18 AM
辛苦了(シ_ _)シ
⚡急速之星⚡焰虎
@KKILLER097
Wed, Jul 12, 2017 5:20 AM
好奇問問 可以增加使用兩步驟驗證器嗎?
⎝ LYU祈手確定
@sloth836
Wed, Jul 12, 2017 5:21 AM
辛苦了!!
❄️ 凍凍 ❄️
@pink_Jane_927
Wed, Jul 12, 2017 5:22 AM
辛苦了!!謝謝你們
📛雄壯✖︎心有臺灣前途有望
@wanxlinen
Wed, Jul 12, 2017 5:22 AM
辛苦了!
ricksimon
@ricksimon
Wed, Jul 12, 2017 5:22 AM
阿唯🌚ドーンだYO : 可能是直接把列舉出來的哪些密碼用明碼丟去encode之後拿到的東西跟DB
比對吧
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:22 AM
阿唯🌚ドーンだYO : 噗浪的密碼使用 SHA256 不可逆的 HASH 方式儲存,會統計出這些數字是我們拿網路上被公佈的帳號密碼清單直接去比對噗友設定的密碼符不符合。比如網路上有公佈 XXX 網站洩漏的帳號密碼是 abcde / xyz123 那我們就會檢查看看有沒有一個噗浪使用者叫 abcde 然後密碼也剛好符合 xyz123 的
詩夏🌸
@natsu49
Wed, Jul 12, 2017 5:24 AM
辛苦了
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:24 AM
Wed, Jul 12, 2017 5:25 AM
噗浪技術部🛠 : 所以就是前者,這樣的加密安全性真的沒問題嗎
這種只要有拿到別的網站的資料庫然後有字典檔幾乎就等於沒設密碼了
霧潯(╹◡╹)喜歡健全貼貼
@decaysnow
Wed, Jul 12, 2017 5:24 AM
辛苦了
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:25 AM
ricksimon : 後面那句其實只是隨便講講,想也知道是單純 hash 啦
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:26 AM
⚡急速之星⚡焰虎 : 兩階段驗證 2FA 有在規劃中,不過根據統計,會啟用 2FA 的人還是算是少數,目前還是請大家用複雜一點的密碼比較安全喔
安白
@Ran_1999
Wed, Jul 12, 2017 5:26 AM
辛苦了
張牙:趴著不想動
@wolfwild
Wed, Jul 12, 2017 5:26 AM
辛苦技技了~~還好我的密碼有想過,也弄得很長,比較沒那麼擔心,好像有20個字的樣子吧……
Ξ≡皂皂≡Ξ
@A_ozao
Wed, Jul 12, 2017 5:26 AM
辛苦了!
⚡急速之星⚡焰虎
@KKILLER097
Wed, Jul 12, 2017 5:26 AM
好的 辛苦你們了 期待這個功能
忘初🏀🏐️⚽️ㅇㅅㅇ
@darkmoon1123
Wed, Jul 12, 2017 5:27 AM
辛苦了!
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:27 AM
Wed, Jul 12, 2017 5:30 AM
噗浪技術部🛠 : 2FA 主要的用途是避免其他網站密碼被知道又剛好這個網站密碼相同用來擋的,根本不該用「啟用人數多寡」當成是不是要用的依據吧
不然先做給付費用戶用也好啊
Jaleco
@Jalico
Wed, Jul 12, 2017 5:28 AM
辛苦了!
易語風
@celeste323
Wed, Jul 12, 2017 5:28 AM
謝謝技技們
嵐月🐦
@ericchu923
Wed, Jul 12, 2017 5:28 AM
辛苦了
茗蒔0w0/鬼太郎也太好看
@away256790
Wed, Jul 12, 2017 5:29 AM
辛苦了
(゚∀。)殼以。這個很ㄎㄧㄤ。
@wxp5127
Wed, Jul 12, 2017 5:29 AM
難怪前幾天登不進來<-改了密碼後就沒事了
₊⁺𝑀𝐼𝑀𝑖₊⁺
@midnight_mi
Wed, Jul 12, 2017 5:29 AM
技技們辛苦了
アルターエゴ mode LPH
@progheal
Wed, Jul 12, 2017 5:31 AM
阿唯🌚ドーンだYO : 事實上, 如果只是要問「有多少帳號用某特定字串做密碼」,那其實一些安全性很高的密碼儲存方式 (如加隨機鹽等) 也是能查得出來的;這種儲存方式是在避免「直接查出某帳號的密碼為何」,兩者雖然很像但還是有所差別的
葉幻
@a231231194
Wed, Jul 12, 2017 5:31 AM
辛苦了!
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:32 AM
Wed, Jul 12, 2017 5:33 AM
アルターエゴ mode LPH : 老實說我認為現在光是不可逆加密已經不足以支持密碼安全性了,因為「只要是相同的加密行為加密出來的密碼就會是一樣的」,甚至不同帳號用同樣密碼的加密也會是一樣的
T@rr@gOn (=ω=)
@okinawa_kiwi
Wed, Jul 12, 2017 5:32 AM
辛苦惹
台灣囝仔
@bee96086
Wed, Jul 12, 2017 5:32 AM
辛苦了
雯子✒@被V們偷走了時間
@auuklp869
Wed, Jul 12, 2017 5:32 AM
ㄐㄐ辛苦了!!
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:32 AM
阿唯🌚ドーンだYO : 您誤會了,我們確實已經有在規劃 2FA。但對於噗浪來說,即使有了 2FA,我們政策也不會強制所有使用者一定要用,因此我們還是希望使用者在第一層驗證就選擇一個複雜點的密碼。
ฅ[ΦωΦ]ฅ鈴鹿凜
@ZEKO_ZERO
Wed, Jul 12, 2017 5:33 AM
96!辛苦了!
無念無想
@eyes8168
Wed, Jul 12, 2017 5:34 AM
噗浪技術部🛠 : 其實就資安角度來說,我還是會希望強制啟用或是強制密碼強度要到某個程度
Cindyξ( ✿>◡❛)
@cindy940822
Wed, Jul 12, 2017 5:34 AM
辛苦了
副總長[紅色狂牛]表示:
@speedmaid
Wed, Jul 12, 2017 5:34 AM
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:35 AM
噗浪技術部🛠 : 實際上也沒有幾個網站會強制使用者啟用,我覺得這還好,但是前面那講法看起來就是說什麼統計用的人少所以沒弄讓我誤會了。
無論如何還是辛苦你們了,希望 2FA 可以盡快上線謝謝
無念無想
@eyes8168
Wed, Jul 12, 2017 5:35 AM
總之辛苦了
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:35 AM
噗浪技術部🛠 : 另外那個 go.plurk 轉址在部分瀏覽器會判定不安全的請問能解決嗎
無念無想
@eyes8168
Wed, Jul 12, 2017 5:36 AM
阿唯🌚ドーンだYO : 目前已知強制啟用的應該就是Apple的iOS 11吧(但也還沒上線
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:36 AM
無念無想 : 強制啟用二階段驗證,再目前台灣網路收訊並非最完善的前提下會有一些問題,舉例而言,台北市中正區因為屬於機要基地,周遭基地台通訊等等的設定範圍受限,往往只要處於地下室一樓的區域收訊救會接近等於零了,這種狀況下使用2FA其實就會很擾民
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:36 AM
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:37 AM
本人親眼見過朋友在該地每天登入某大型網站服務的時候都要點下認證後衝到一樓去收認證再衝回電腦前,天天衝
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:37 AM
Silent Night™ : 2FA 可以用 app 產啊,跟 google 那個一樣的機制就好也沒必要一定得收簡訊
無念無想
@eyes8168
Wed, Jul 12, 2017 5:37 AM
Silent Night™ : 了解,感謝說明
臺獨阿洛✬寺隱雲遊僧
@yeh_law
Wed, Jul 12, 2017 5:37 AM
ㄐㄐ們辛苦了!!
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:38 AM
阿唯🌚ドーンだYO : 那這還要考量到有些使用者並不會再手機安裝APP,在手機上都是直接使用手機網頁板的問題
無念無想
@eyes8168
Wed, Jul 12, 2017 5:38 AM
App產的問題還是時間要同步和保持和伺服器連線吧(目前BZ驗證器的機制
::имк::
@dokuichigo
Wed, Jul 12, 2017 5:38 AM
我們公司的客戶最近也被駭客入侵,而且還提供我們公司假帳號要我們匯貨款(因為很可疑所以沒匯)
無念無想
@eyes8168
Wed, Jul 12, 2017 5:38 AM
所以S大講的問題除非有Wifi,否則就是要用救援碼了
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:39 AM
2FA雖然具備有"即使使用者帳號密碼遭到洩漏,仍有最後一道防線"的可能,但若是強制使用者啟動會有擾民問題,但不強制啟用的話,使用者只要選擇不啟用那這個機制等於白搭
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:39 AM
無念無想 : 不需要,手機沒開網路也可以...
因為那個幾乎是離線產生,只要你手機不是故意跟標準時間差很多
ricksimon
@ricksimon
Wed, Jul 12, 2017 5:39 AM
Google Authenticator - Android Apps on Google Play 類似這種東西嗎ww
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:39 AM
Wed, Jul 12, 2017 5:40 AM
阿唯🌚ドーンだYO : 密碼 hash 儲存有使用 salt ,所以不會有您說的不同使用者使用同一個密碼加密出來一樣的問題。
鹽 (密碼學) | Wikiwand :
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:39 AM
無念無想 : 對,但這樣變成類似Google那樣,每次生產固定數目驗證碼,用完再生產,其實也是某種意義上的擾民
無念無想
@eyes8168
Wed, Jul 12, 2017 5:39 AM
阿唯🌚ドーンだYO : 可是目前Google和BZ的產生方式都是伺服器推通知到手機唉...
喜歡ㄌㄌ的機車店電腦客服
@AutoBuy
Wed, Jul 12, 2017 5:40 AM
登錄弄得太複雜也是一種使用者困擾...;謝謝官方處理。
北落師門✨
@bellewang77
Wed, Jul 12, 2017 5:40 AM
辛苦了
アルターエゴ mode LPH
@progheal
Wed, Jul 12, 2017 5:40 AM
阿唯🌚ドーンだYO : 喔, 這個不安全的問題我有在一則逛首頁時看到的其他人的噗中提過, 這應該是因為噗浪的 https 簽證是給 www.plurk.com 而不是其他三級網域的關係; 這或許會需要噗浪使用簽給二級網域的 https 簽證才能解決
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:40 AM
Wed, Jul 12, 2017 5:41 AM
無念無想 : 我都可以不用 Google 官方 app 產 OTP 了還是你講的是另一種推送通知的
無念無想
@eyes8168
Wed, Jul 12, 2017 5:40 AM
不過BZ可以用傳統方式直接產生是沒錯(主推伺服器通知
黃小月
@yuehyi
Wed, Jul 12, 2017 5:41 AM
無念無想 : BZ驗證器不需要跟伺服器連線吧?只要對時就OK了喔
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:41 AM
密碼儲存的部分,我覺得不能因為噗浪技術部取得清單比對出來後就認為他們的hash加密是無效的,因為如同上面有人提到,加密的用意是防止有人直接取得伺服器資料時可以直接看到密碼,但若是有人手上有其她的密碼清單,用嘗試的方式暴力破解,不管哪種伺服器密碼儲存加密方式都是白搭阿,因為帳號密碼對了就是可以進入嘛
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:41 AM
不管哪種加密方式,基本都不能阻止持有隊的帳號密碼的使用者進入不然這就不是加密而是摧毀了
阿鬼
@GHOsTErMOme
Wed, Jul 12, 2017 5:42 AM
變成技術噗了
黃小月
@yuehyi
Wed, Jul 12, 2017 5:42 AM
應該說,舊版的只有在安裝時候需要對時,新版的推播通知才會需要連線,但BZ驗證器仍保留有舊版直接填入數字的功能
無念無想
@eyes8168
Wed, Jul 12, 2017 5:42 AM
黃小月 : 因為我目前手邊的BZ驗證器是登入時,先從伺服器推通知到手機端然後由使用者確認是否登入
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:42 AM
噗浪技術部🛠 : 有 slat 就好,因為某些網站真的就只是密碼丟進去加密就算了
無冬夜😈Act-4🥹
@tw0517tw
Wed, Jul 12, 2017 5:42 AM
無念無想 : 產生定時密碼的那種驗證器(Google, BZ之前版本)都是同步時間的時候才會連線,不然其實不用連線
剎舞🐙海洋姬
@yywu0831
Wed, Jul 12, 2017 5:42 AM
雖然完全看不懂上面都在討論什麼....插樓喊一下技技辛苦了
肚爛明
@darkforce7412
Wed, Jul 12, 2017 5:42 AM
阿唯🌚ドーンだYO : 單機生產的才危險 這樣只要可以從手機撈出你的key就等於拿到你的驗證器了
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:42 AM
上面有人提到的那個有暴力破解字典檔案就可以猜測的部分,我相信噗浪技術部門應該會針對使用者正常登入時的登入頻率、同一IP登入次數、瞬間測試量等做為限制
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:43 AM
至於技術部門可以短時間完成清單測試,應該只是因為他們救再伺服器旁邊,可以自由使用資料庫猜測而已
黃小月
@yuehyi
Wed, Jul 12, 2017 5:43 AM
無念無想 : 你可以看底下還有一個是手動輸入驗證碼,那個部份不需要跟伺服器連線
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:43 AM
換句話說,今天沒有這份清單,噗浪技術部門也沒人知道妳密碼多少
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 5:43 AM
肚爛明 : 拿得到你手機的狀況下是哪種方式產生的都沒用...
無念無想
@eyes8168
Wed, Jul 12, 2017 5:43 AM
我覺得問題點應該是,我想說的那兩個都不是OTP
而是直接推通知到使用者的手機APP端確認
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:43 AM
但是有清單的人,就算伺服器加密再怎麼厲害,還是知道密碼
肚爛明
@darkforce7412
Wed, Jul 12, 2017 5:44 AM
阿唯🌚ドーンだYO : 用惡意程式撈不見得要拿到手機阿
黃豆🍡
@night0225
Wed, Jul 12, 2017 5:44 AM
樓上那串討論感覺很厲害
總之ㄐㄐ辛苦了!
無念無想
@eyes8168
Wed, Jul 12, 2017 5:44 AM
黃小月 : 嗯對,有這個,但不知為何被BZ改為備選驗證而不是主要驗證
黃小月
@yuehyi
Wed, Jul 12, 2017 5:44 AM
Silent Night™ : 沒錯,對方是連密碼是什麼都已經知道了,那他當然是輸入正確的帳號密碼,這種情況伺服器再怎麼加密,也沒辦法擋掉對方的登入~~
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:45 AM
目前最好的狀況應該是,使用者良好習慣的養成,不外乎就是設定複雜密碼(密碼長度夠長、同時包含大小寫數字與特殊符號等),不同網站使用不同密碼,不再公共區域任意登入個人帳號等等
黃小月
@yuehyi
Wed, Jul 12, 2017 5:45 AM
肚爛明 : 據我所知,不管什麼加密,key被拿到都是沒救了吧 XDDDD
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:46 AM
而我上述說的就是技術部門再本PO最開頭提到的幾個提醒,所以這時候去討論hash加密為何還能讓技術部門統計出來這點其實頗為廟
⌚拚本燥⌚
@Jyu61228
Wed, Jul 12, 2017 5:46 AM
加蜂蜜 (mmm)
肚爛明
@darkforce7412
Wed, Jul 12, 2017 5:46 AM
黃小月 : 至少例如像爆雪實體驗證器是完全隔離的 key是拿不出來的
跟手機產生的安全性不是同一個等級
無念無想
@eyes8168
Wed, Jul 12, 2017 5:47 AM
個人意見是2FA還是有其必要性
這樣當密碼外洩的時候還有第二層防線確認是否本人
無論對官方還是使用者都是多一層保障
當然手機遺失這類的問題算是2FA的歷史共業...
無念無想
@eyes8168
Wed, Jul 12, 2017 5:48 AM
話說技術部要不要考慮PO個問卷,關於2FA這層可以做個調查
不然這噗太技術可能有些人會腦內自動遮蔽XDD
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:48 AM
要知道密碼學當中,除了循環密碼(一種密碼會隨時間改變,沒有固定的機制)以外,理論上任何的密碼都不是"不可能被知道",而是"知道的機率太低"而已,而當對方已經持有正確的金鑰,說實話妳能阻止的方式除了2FA這種額外確認形式(但上面以說明可能的擾民狀態)或是生物認證(哪來的裝置給妳認證)以外,目前還真的難以阻擋
無念無想
@eyes8168
Wed, Jul 12, 2017 5:49 AM
Silent Night™ : 觀念正確給推
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:50 AM
無念無想 : 我覺得可以從兩步驟出手
1.依然設定2FA機制,讓想使用本機制,而環境也許可的使用者可以啟用
2.如果噗浪技術與資源許可,可增加針對使用者登入狀態的異常偵測,例如登入時間/裝置/IP地點等與經常使用習慣有誤者,發出警訊或是強制啟用2FA驗證/使用第三方管道要求確認使用者授權
黃小月
@yuehyi
Wed, Jul 12, 2017 5:50 AM
肚爛明 : 但他的加密原理跟手機版本應該是一樣的,只是因為他是獨立設備所以因為沒有網路等等關係,相對上是不容易洩露,但是也因此增加了不便性(試想,暴雪一個驗證器、噗浪一個、FB一個.....最後驗證器掛到比鑰匙還大串?!),以原理來說實體驗證器的驗證方式沒有所謂的"比較安全",因為都是一組key下去跟時間一起算算算
◕∀◕*)閃亮亮的Koi °♪
@koi0315
Wed, Jul 12, 2017 5:50 AM
辛苦技技們惹
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:50 AM
這也是目前其他較大型服務(Google/FB)業者目前採取的方式
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 5:51 AM
我認為2FA可行,不過不需要強制
像是Google的2FA目前也只是自行選用
想用的人再用就好了,硬要加上去也不妥
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:51 AM
黃小月 : 其實針對一堆驗證器這點,就有人提出"大家共用一種規格的驗證器,這樣不管哪種服務都只要一個就好~"的概念不過毫不意外被打槍了
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:51 AM
一尾.真‧吃土 : +1
黃小月
@yuehyi
Wed, Jul 12, 2017 5:51 AM
Silent Night™ : 異常/新地點登入會收到gmail之類....
無念無想
@eyes8168
Wed, Jul 12, 2017 5:52 AM
Silent Night™ : 有啊,目前不少廠商都是串Google的API
肚爛明
@darkforce7412
Wed, Jul 12, 2017 5:53 AM
黃小月 : 是的演算法應該是一樣的 差別只是在手機有很多管道有辦法把key抽出來
這樣安全性確實會差很多是無庸置疑的
黃小月
@yuehyi
Wed, Jul 12, 2017 5:53 AM
Silent Night™ : 共用的話更不安全了吧哈哈,這樣破解後的獲利更高,因此就更危險了!!!!本來只有個BZ驗證器,破解了也沒賺那麼多,要是大家都共用那只要破解一個就什麼都有了?!
無念無想
@eyes8168
Wed, Jul 12, 2017 5:53 AM
異常通知或是要求第二驗證這點像是Google和Discord有在做
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:53 AM
無念無想 : 但也有不少廠商拒絕阿大多都是為了商業利益或是單純不爽而已
肚爛明
@darkforce7412
Wed, Jul 12, 2017 5:54 AM
當然安全性跟不便就是二選一的問題了
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:54 AM
黃小月 : 這也是個問題,就像現在一張悠遊卡掉了很多事情都沒辦法動拿大那張卡的人可以幹很多事情
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 5:55 AM
就讓使用者自選吧,為了安全可以不便,還是為了方便寧願犧牲安全
如果server說了算,一定有一堆user抗議
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:55 AM
肚爛明 : you got the point,安全性與便利性一直以來幾乎都是反比,越安全自然越不方便,反之亦然,所以才會很多大廠研發生物辨識,希望可以再不犧牲太多安全性的前提下增加便利性(ex.指紋/虹膜辨識)
無念無想
@eyes8168
Wed, Jul 12, 2017 5:56 AM
Silent Night™ : 像是某個pay.taipe
✜紫羅蘭藍莓甜甜圈
@umapleacgn
Wed, Jul 12, 2017 5:56 AM
路過給推,感謝辛苦的技技以及上面的專業人士,噗浪上有很多人願意為大環境設想真是太好了
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:56 AM
但說實話這種生物辨識也有很大問題,只要當事人昏迷了就GG
無念無想
@eyes8168
Wed, Jul 12, 2017 5:56 AM
一尾.真‧吃土 : 問題不安全的時候User不會覺得是自己的問題,而是廠商的問題(聳肩
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:57 AM
我個人是那種為了安全不怕麻煩的人,但身邊很多人都是因為怕麻煩寧可妥協的人想說自己也不重要不必這麼怕
蓮♪讓我打P3R
@hedy870801
Wed, Jul 12, 2017 5:57 AM
謝謝ㄐㄐ,你們辛苦了
無念無想
@eyes8168
Wed, Jul 12, 2017 5:57 AM
不管怎樣都是they的錯啦,給我保護好我的資料(混亂邪惡
Mouse Club會員 翎翊
@e369585
Wed, Jul 12, 2017 5:57 AM
感謝ㄐㄐㄉㄉ們!!還有最近加入的小ㄐㄐ
期待2FA上線中
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:57 AM
但真的就是,恩,我只能提醒一個點,現在的社會已經逐步全面資訊化了,妳的資安能力就跟妳如何保管妳的存摺印鑑一樣重要
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 5:58 AM
無念無想 : 使用習慣這麼差被發現密碼還都同一組還用爛密碼還怪廠商 這種user可以不要嗎(NO
Silent Night™
@cg6445
Wed, Jul 12, 2017 5:58 AM
而且資安門戶大開=任何人都有可能在網路上假扮妳做壞事,加上現在是個資訊與現實密不可分的狀態,妳在網路上被毀了現實生活中被毀的機率也相當的高
悅 ( ◠ ◡ ◠ )
@eir40733
Wed, Jul 12, 2017 5:58 AM
推兩步驟驗證
無念無想
@eyes8168
Wed, Jul 12, 2017 5:59 AM
一尾.真‧吃土 : 我也很想不要啊啊啊(崩潰
腐島上的E.T如如
@candy40993
Wed, Jul 12, 2017 5:59 AM
辛苦了
Silent Night™
@cg6445
Wed, Jul 12, 2017 6:00 AM
試想,有人取得了妳認為不重要網站的帳號密碼,進去了那個網站取得了相關資料,進而猜出妳再Plurk/FB的帳號密碼,接著盜用妳的帳號發表不良訊息或是進行詐欺,只要那個入侵者沒被抓到,或是妳無法證明妳是被害的,所有因此衍伸的各種被罵被公幹被超全家或是法律訴訟都是妳實體上要承擔的麻煩
一件件慢慢K.O.!若晴
@Lydia13141018
Wed, Jul 12, 2017 6:00 AM
技技好窩心還特地出來宣導,總之辛苦惹
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 6:00 AM
肚爛明 : 用惡意程式撈也是用哪種 2FA 都沒救...
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:00 AM
阿唯🌚ドーンだYO : 如果現行的密碼形式你都不滿意的話,難道你要用證書登入嗎⋯⋯
芽咩。
@mesan0409
Wed, Jul 12, 2017 6:00 AM
辛苦了!然後也推雙重認證,綁手機號碼之類的最好,登入都要輸入簡訊驗證碼之類~
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:01 AM
無念無想 : 設密碼的時候規定一定要符合複雜度 不然不准用 應該可以篩掉一半ww 順便篩掉一點不想用安全密碼不要來的傢伙
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 6:01 AM
${Μιαυ} : 我是針對他某個的回應講的
創革՞σ՞)⎠影宇_Fatㄌ
@Fire33003023Shadow
Wed, Jul 12, 2017 6:01 AM
肚爛明
@darkforce7412
Wed, Jul 12, 2017 6:02 AM
阿唯🌚ドーンだYO : 還是有啦像我前面說的完全跟外界隔離的驗證器
不過這也就牽扯到額外的硬體成本跟方便性的取捨
無念無想
@eyes8168
Wed, Jul 12, 2017 6:02 AM
一尾.真‧吃土 : 這個上面提了(被淹沒可能)
希望技術部可以採納XDDDD
只是個社畜LORIAN
@toolatetodieyoung
Wed, Jul 12, 2017 6:04 AM
2FA的話,傳統sms會是一筆定期開銷,想走新一點的spec像FIDO的話,建置成本也不少,個人會覺得噗浪就在預算內去規劃就好。
畢竟說回來資安最基本的,就是這噗在做的使用者教育。
辛苦技技們了。
無念無想
@eyes8168
Wed, Jul 12, 2017 6:05 AM
純密碼防禦不夠應該算是資安界共識了
只是第二層防線怎麼做才能讓使用者接受度高又有安全性才是個問題(大哉問
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:05 AM
無念無想 : 我想他們應該會增加規定密碼複雜度、自行選用的2FA吧XD
雖然不管怎麼做都會有人哀嚎,這種使用者算了吧
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:05 AM
要是真的記不住每個網站的密碼,何不使用 KeePass 把各網站的密碼存進去加密,KeePass 密碼資料庫 除了可以用一般文字加密+金鑰檔案加密,你願意還可以再多一道實體 YubiKey 加密狗 來保障。
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:06 AM
丟進雲端硬碟,隨時存取 (躺
微醺鸚鵡
@Miapo
Wed, Jul 12, 2017 6:06 AM
密碼7年沒變...XD
無念無想
@eyes8168
Wed, Jul 12, 2017 6:06 AM
老實說我不太信任KeePass這樣的服務(遮臉
無念無想
@eyes8168
Wed, Jul 12, 2017 6:06 AM
微醺鸚鵡 : 該改了,快去換吧
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:07 AM
不相信KeePass+1 不如紙本都還比較安全(爆 紙本只有家人會盜而已
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:07 AM
KeePass 哪時候變服務了,自己的密碼自己負責啦⋯⋯
無念無想
@eyes8168
Wed, Jul 12, 2017 6:08 AM
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:09 AM
るる
@eternity_Butterfly
Wed, Jul 12, 2017 6:09 AM
謝謝ㄐㄐ們,辛苦了!
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:10 AM
無念無想 : ${Μιαυ} : 一個「密碼存在自己本地軟體裡面到底安不安全」的另開戰場嗎XDD
無念無想
@eyes8168
Wed, Jul 12, 2017 6:11 AM
${Μιαυ} : 抱歉查了一下是我記錯了,我以為是某個很可怕的線上密碼管理服務
_痕_
@shang_hen
Wed, Jul 12, 2017 6:11 AM
謝謝,辛苦了
無念無想
@eyes8168
Wed, Jul 12, 2017 6:11 AM
有點誤會不好意思
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:13 AM
一尾.真‧吃土 : 安不安全是自己的責任啊,喂
幻影
@u2673269
Wed, Jul 12, 2017 6:15 AM
Silent Night™ : 推觀念正確
順帶一題,如果認為密碼需要由他方幫忙保管加密,那就跟銀行差不多,當自己資料自己沒有保全,為何他方要負責?
Sean Wei
@TW_Sean
Wed, Jul 12, 2017 6:17 AM
辛苦技技了
Sean Wei
@TW_Sean
Wed, Jul 12, 2017 6:17 AM
我覺得我的密碼好危險--,可以幫我看看有誰跟我重複嗎-
無念無想
@eyes8168
Wed, Jul 12, 2017 6:18 AM
Sean Wei : 重點不是重複而是複雜性
PMK
@pumpkinmilk
Wed, Jul 12, 2017 6:19 AM
辛苦了
無念無想
@eyes8168
Wed, Jul 12, 2017 6:19 AM
詳細的上面已經有人提了,英數混和/大小寫混用
這些原則稍微Google一下可以找到
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:20 AM
${Μιαυ} : 其實我覺得噗浪這次風波有九成是使用者自己的責任
阿捲_🏃‍♀️
@playkeng11
Wed, Jul 12, 2017 6:21 AM
辛苦了!
羅賓葱燒鷄
@weitsong0936
Wed, Jul 12, 2017 6:22 AM
噗浪技術部🛠 : 甚麼時候可以用FIDO的USB device來做認證?
夏洛特×伊莉莎伯×戴安娜
@charlotteluk_1220
Wed, Jul 12, 2017 6:22 AM
辛苦了
嵐光風
@stps9340821
Wed, Jul 12, 2017 6:23 AM
天阿,辛苦各位了!
紅狼pyon
@wolf_in_red
Wed, Jul 12, 2017 6:24 AM
辛苦了,愛技技
無念無想
@eyes8168
Wed, Jul 12, 2017 6:24 AM
羅賓葱燒鷄 : 肉骨獸OTP驗證器嗎,感覺會很賣錢
一尾.真‧吃土
@iop982002
Wed, Jul 12, 2017 6:26 AM
肉骨獸的www 買!!!!
oldblood
@oldblood
Wed, Jul 12, 2017 6:26 AM
感謝技技
${Μιαυ}
@miau9202
Wed, Jul 12, 2017 6:26 AM
Have I been pwned? Check if your email has been comp...
 順便講一下,在這裡輸入帳號或電子信箱,看看你其他服務是否也被盜用了
當然,如果怕被人家紀錄帳號的話就算了。
搖曳的竹林
@bluish_green
Wed, Jul 12, 2017 6:27 AM
只要把常用的懶人密碼拿去加密,再和用戶密碼進行比對,就能知道有多少人使用懶人密碼,一般網站驗證使用者有沒有敲對密碼也是用這種方式(存明碼實在太危險了)
Ayukawayen
@Ayukawayen
Wed, Jul 12, 2017 6:31 AM
我這幾年都是用自己寫的套件: MS Password Generator
就是一個Hasher,完全離線產生,不在本機上儲存網站密碼,輸入不同網站名稱就會產生不同的密碼。 (其實就是把輸入的字串和主密碼合起來取Hash而已)
飛@夏尼爾
@kero966623
Wed, Jul 12, 2017 6:39 AM
Ayukawayen : 還滿方便的,有放在github上嗎
懿若雪
@TCHsnow
Wed, Jul 12, 2017 6:43 AM
ㄐㄐ辛苦了
羊人
@shipherd2010
Wed, Jul 12, 2017 6:46 AM
謝謝!
知預
@thistuesday
Wed, Jul 12, 2017 6:47 AM
辛苦了!!
芙⚜️莫里亞蒂兄弟情深快去結婚
@ukimi17
Wed, Jul 12, 2017 6:57 AM
ㄐㄐ太棒棒了!
飛橙ㄈㄐ★🌈ZXJHBD!
@annie52615261
Wed, Jul 12, 2017 6:59 AM
辛苦了
花式摔坑◇JudyLee
@judylee3345
Wed, Jul 12, 2017 7:06 AM
辛苦了
理斯特
@cabalists
Wed, Jul 12, 2017 7:21 AM
兩步式驗證還是有其必要性,不能因為使用的人少就不管它,知道會用人的就是會人,不知道其重要性覺得擾民的心態才是奇怪的想法;不管是用簡訊驗證還是用email驗證,或是使用google 驗證器,那一種方式都可以,現在一般較大的社群網站都會有此功能,沒有反而令人不安。
九命
@pleasegivemeabluerose
Wed, Jul 12, 2017 7:24 AM
個人不支持強制手機二階段認證,智慧型行動裝置沒電或沒在身邊有辦法開網頁也是屁。
Finochio🍀
@finochio
Wed, Jul 12, 2017 7:25 AM
辛苦了!
九命
@pleasegivemeabluerose
Wed, Jul 12, 2017 7:26 AM
且目前的二階段認證我記得都是1對1,不能一個帳號與多個行動裝置對應,我有三個行動裝置,可我不會每次都帶同一個出門啊。
Nightfeatherᵧ
@featherance
Wed, Jul 12, 2017 7:28 AM
Wed, Jul 12, 2017 7:28 AM
其實 TOTP 模式的 2FA 是可以多機的喔
金鑰抄下來慢慢 key
或是啟動 2FA 時每隻都拿出來掃一次就好了
英雄戰車Blackjack
@Blackjack_tw
Wed, Jul 12, 2017 7:50 AM
辛苦了
ivylee
@ivyleee
Wed, Jul 12, 2017 7:53 AM
(applause) (worship)
SMY
@derrick20221313
Wed, Jul 12, 2017 8:28 AM
感謝噗浪~~
阿唯🌚ドーンだYO
@yui_mitsuki
Wed, Jul 12, 2017 8:38 AM
Wed, Jul 12, 2017 8:38 AM
redqcat: OTP 的話其實可以,因為 key 只要兩台手機都有就行
彩🐾耍廢生活
@eve842
Wed, Jul 12, 2017 8:52 AM
謝謝提醒,辛苦了
海也🫐
@wuthedeep17
Wed, Jul 12, 2017 8:59 AM
辛苦了!
卡茲咪@兔角同盟
@xen852
Wed, Jul 12, 2017 9:00 AM
阿鬼 : 他是說還在運作的帳號
轉順~
@leo54879888
Wed, Jul 12, 2017 10:20 AM
白毓💚在追星
@baiyu_mood
Wed, Jul 12, 2017 10:26 AM
辛苦了!
天氣晴´͈ ᵕ `͈
@lovemilk167
Wed, Jul 12, 2017 10:39 AM
辛苦了!
ㄐㄐ◈
@black_queen
Wed, Jul 12, 2017 10:48 AM
偉哉技技!!!
天龍超越天龍*路人T
@anyone_T
Wed, Jul 12, 2017 11:50 AM
有朋友pfge不見了
自由行走的閒者-ㄐ ㄌ
@chinglanlin
Wed, Jul 12, 2017 12:06 PM
看來至少還是得要求一下複雜度惹
O_o
@Iamposter
Wed, Jul 12, 2017 12:24 PM
這個統計好驚人,感謝提醒!要來檢查一下了
ㄏㄒ
@azx881206
Wed, Jul 12, 2017 12:54 PM
謝謝ㄐㄐ們,辛苦了
つばめ🌙👑체리46(低浮出)
@ss65256525tw
Wed, Jul 12, 2017 1:06 PM
ㄐㄐ們辛苦了
希露因
@zenki324
Wed, Jul 12, 2017 1:12 PM
技技辛苦了
Rita Ku
@RitaGuu
Wed, Jul 12, 2017 1:31 PM
辛苦了!
暴風城太陽龍
@YHL1997
Wed, Jul 12, 2017 1:34 PM
辛苦了!
屬荒
@venuslai
Wed, Jul 12, 2017 3:06 PM
辛苦了~
㊣薔薇騎士一穴道長微酸小爆瓜™
@jaymyang
Wed, Jul 12, 2017 3:25 PM
(cozy)
Jedidiah
@JKBT
Wed, Jul 12, 2017 3:28 PM
呼~😙 已修改
🍀🍀🍀
@ark_c
Wed, Jul 12, 2017 3:29 PM
辛苦了!
清蒸檬檸魚
@w1477olk
Wed, Jul 12, 2017 4:22 PM
辛苦了
ying 盈盈
@ying912044
Wed, Jul 12, 2017 4:25 PM
辛苦了!
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 5:42 PM
kurasami: 請私噗給 噗浪技術部🛠 告知詳細情形,技技會想辦法幫您處理
玄掉渣
@shane56178
Wed, Jul 12, 2017 8:08 PM
辛苦了!
忙しい中の願い星
@Yui_Takuya
Wed, Jul 12, 2017 8:22 PM
Wed, Jul 12, 2017 8:25 PM
噗浪技術部🛠 : 只用 SHA256 會不會不夠好呢?用 GPU 來計算的話,暴力破解還是很快,如果不做其他加工處理,至少用 Mcrypt, Scrypt, Pbkdf2, Argon2 這種即使用 GPU 處理也無法加速的比較好?
Password Hashing Competition
噗浪技術部🛠
@plurkwork
Wed, Jul 12, 2017 11:16 PM
忙しい中の願い星 : 在 hashed password 被洩漏的狀況下才有辦法被暴力破解,目前是覺得還不太需要作到這種程度。不過我們幾年前確實是從 MD5 升級到 SHA256 的,未來當然還是可以再改用新的 Hashing 方法,感謝您的提醒
小綠∞仆浪
@shiuan1226
Thu, Jul 13, 2017 1:16 AM
噗浪技術部🛠 : 請問密碼的命名,能使用特殊符號了嗎?
載入新的回覆