作者silencedance (静舞)
看板DNF
标题Re: [闲聊] 盗帐号
时间Fri May 24 10:21:22 2013
以下小弟非常表面的看法..大家讨论一下
我不知道g社的密码验证机制是怎样的
但是这世界上没有破不了的加密系统
即使你用的是RSA加密演算法
加密机制很重要的一个要点在於"时间"
任何的加密系统 如果没有把金钥 凭证或是之类的东西加上时间标签
被破解只是迟早的事情
跟档案存在client或是server没有直接关系
当然存在server端要破解决对比client来的困难
但不是存在server就没问题
这时候又要提到D3(乾 我真的很不想提 但是他在验证这部份真的作的不错)
D3的验证器为何说破解不了
因为在一开始设定验证器时 就已经将验证器/手机的时间与server同步了
所以只要验证器/手机还在你手上
没有人能知道在这30秒之内的验证码是啥
当然时间总是会有误差 我猜测应该每次认证都会做一次时间同步的动作
如果验证码没有时间限制 从头到尾都同一组
只要愿意花时间 迟早会被破 这也是为何时间标签很重要的原因
※ 引述《osalucard (恶魔城)》之铭言:
: 标题: Re: [闲聊] 盗帐号
: 时间: Fri May 24 09:05:44 2013
:
: : 附带一提,手机锁还是没有用的,昨天被盗的朋友有用手机锁依然被盗
: : 真不晓得是用什麽黑科技..
:
: 这句话如果PO在哈哈姆特我想你会被酸死...
:
: Garena的手机锁早晚会被破解的,为什麽?
: 因为验证码的档案在client端,不在server端
: (client端即你的电脑,server端即garena的电脑)
: 怎麽知道是在client端?很简单
: 只要你移除竞时通,再把竞时通安装回去
: DNF就会再度要求你输入验证码了
: 这就代表验证码的档案存在client端了
这样问好了 你所谓的client是指手机还是电脑?
你的验证码取得是手机还是电脑?
这个作法顶多是证明这台电脑并未经过验证许可
但是发出了连线需求 所以传出的封包也就不会有验证码讯息
所以server才回传讯息要求输入验证码
如果档案存在client 何必多此一举?
包一包送过去server验证就好啦
所以我个人猜测问题可能是出在"信任此装置"这里可能有漏洞
: 一些正版光碟的防盗技术不断翻新
: 但最後都还是被破解
: 最大的共通特色就是档案都在client端
拿光碟来当例子有点怪怪的..
单机游戏光碟里面没内容你要玩啥..?
游戏或电影光碟 不放在client要放在哪?
: 那又何况是garena的手机锁呢?
: 所以会被破解一点也不意外
我不知道g社手机锁的演算法怎麽写的
但说被破解一点也不意外?
我只能假设问题可能出现在"信任此装置上面"
或许这地方会有漏洞可以钻
但是理论上 手机锁如果是跟d3类似的演算法
要破解根本不符合成本效益
: 至於被盗,我想应该是帐号密码和其他地方刚好一样,可能是论坛,可能是游戏
: 个资被卖掉了只是都没有人知道,这个可能性是最高的
: 再来才是中了木马,但除非你没装防毒或者你是名人
: 不然盗帐号集团也是要讲求效率和投资报酬率的
: 一个一个骇客进去盗,太费时费工了
......盗帐号还要手动我还第一次听过
前阵子八卦版的网兵DDOS攻击有参与到吗?
点开网页就可以进行攻击 还需要你慢慢点?
最单纯的暴力攻击法 用0~9作数字排列
盗帐号还要一个一个猜?当然是用程式下去跑啊
跑完哪个可以登入了再过去手动洗光 然後程式继续跑
:
:
:
: --
:
※ 发信站: 批踢踢实业坊(ptt.cc)
: ◆ From: 1.34.229.15
--
召▄▄▄▄▄_____▄▄▄ ▄ 键盘协会徵才 ▄▄▄▄▄▄▄
唤▄▄▄▄/▄▄▄▄▄ /FF 专长:键盘分析 早知道就 ▄ \▄▄╱▄▄▌
峡▄▄▄{▄▄▄▄▄◢
▄工作:关心比赛▄ 不转职了! ▄▄ @▄▄▄▄
谷▄▄▄{▄▄▄▄▄▄▄▄▄▄ELO :3000 ◥
已哭 ◥ ▄▄皿▄▄▄▄▄
▄▄╲▄\▄︹▄▄▄▄▄▄▄待遇:面议 ▄ ▄▄︸ ▄▄▄
▄▄▄︴▄▄¥▄▄▄▄ ▄上班日期:即刻上工 by aresa ▄ ▄’#‘ ▄▄▄
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.222.81.253
1F:推 TCBeliever:clint -> client...... 05/24 10:25
2F:→ silencedance:XDDD 糟糕 05/24 10:26
※ 编辑: silencedance 来自: 61.222.81.253 (05/24 10:26)
3F:→ silencedance:感谢一楼指正 05/24 10:26
4F:推 intotherain:DNF用的跟D3是同一套系统啊... 哪有那麽好破 05/24 11:13
5F:→ iloveevilfar:现在garena的智慧型手机密码锁app宣称”不用连网路也 05/24 11:15
6F:→ iloveevilfar:能得到验证码,缺少跟server交换资讯,可能有重大漏 05/24 11:17
7F:→ vanler:我在上篇也漏了e(艹 05/24 11:18
8F:→ eliteark:智慧手机验证码产生器原始设定就是不用连网路 05/24 11:26
9F:→ Adven:防君子不防小人 可能盗帐也是这麽一回事 05/24 11:26
10F:→ Xavy:只好弹蛋蛋了 05/24 11:27
11F:→ eliteark:只要启用产生器前有做序号码连结 05/24 11:27
12F:推 nobitakun:上面自爆了 0_0 05/24 11:48
13F:→ i300ml:这篇比较实在 XD 上篇作者不来这讨论,在上面搞自爆做啥XD 05/24 11:49
14F:推 kevin781228:最後根本鬼打墙,可惜了 05/24 11:49
15F:→ categg:信任此装置其实只是一种节省对方发送简讯成本的方式而已 05/24 11:50
16F:→ categg:因为那个简讯费是对方付的 05/24 11:51
17F:推 tothepoint:上面那篇的作者不是前阵子才发文愤怒的说不玩了吗 05/24 11:51
18F:→ shadowdio:原文的装懂防火墙被破解了 只好自爆 05/24 11:51
19F:→ categg:信任此装置是用你电脑上的特徵码跟IP去建立一个验证档案 05/24 11:52
20F:→ categg:伺服器是会对那个档案做MD5检查是不是一致 05/24 11:53
21F:→ categg:假设是拿到原档案好了 那就表示你已经中木马被盗了 05/24 11:53
22F:→ categg:那再假设档案是假造的好了 问题是动一个码MD5值就对不起来 05/24 11:54
23F:→ categg:就跟伺服器端的档案不一样 这样也没用 05/24 11:55
24F:→ TCBeliever:好吧 不会用md5 md5太弱了 05/24 11:56
25F:→ categg:还有G社用的是比较单纯的被动式OTP B社用的是比较先进的 05/24 11:56
26F:→ Mystiera:原本的信任应该是这样没错 05/24 11:56
27F:→ categg:动式OTP 这两者还是有点差别 05/24 11:57
28F:→ Mystiera:可是我回家用我弟的nb 没勾信任也自动变信任这就.. 05/24 11:58
29F:→ TCBeliever:等一下..OTP有分主被动? 能不能给个资料参考一下 05/24 12:01
30F:→ categg:你可以GOOGLE一下主动式OTP跟简讯式OTP这两者的资料比对 05/24 12:06
31F:推 attacksoil:其实这篇根本就是同意上篇的说法吧 却可以说的好像是在 05/24 12:16
32F:→ attacksoil:骂批评上篇作者... 有点威 05/24 12:16
33F:→ nanari:Mystiera>搞不好你弟有在玩 05/24 12:20
34F:推 TCBeliever:那篇看起来只是某个厂商的商业文阿... 05/24 12:55
36F:→ TCBeliever:他说的方式是网页产生认证码->手机打简讯送 超麻烦... 05/24 12:56
37F:→ TCBeliever:&bz是使用app的OTP..不是这种的 05/24 12:56
38F:推 TCBeliever:稳定成本是因为业者的简讯费用转嫁到使用者身上XD 05/24 12:59
39F:→ silencedance:嗯 我没跟到 上一篇怎麽删了?有八卦? 05/24 13:04
41F:→ silencedance:上一篇原文是在说因为验证档是存在client端 所以容易 05/24 13:07
42F:→ silencedance:被盗 我的重点是摆在"信任此装置"上.. 05/24 13:07
43F:→ silencedance:不可否认server端的确难攻破 但说client端随便就能 05/24 13:08
44F:→ silencedance:伪装也太草率 05/24 13:08
45F:推 attacksoil:他也是说"信任此装置"出问题啊... 05/24 13:08
46F:→ attacksoil:而且这篇你不是也同意在client端比较容易被破解 05/24 13:09
47F:→ Mystiera:我弟有在玩 他有信任 结果我用他电脑登入我的帐号 05/24 13:09
48F:→ silencedance:嗯?他有提到是这个机制有问题吗?那大概是我解读错 05/24 13:09
49F:→ Mystiera:一开始OTP输入以後就自动信任了 这是安全性的疑虑 05/24 13:10
50F:→ attacksoil:也可能是我解读错啦 05/24 13:10
51F:推 TCBeliever:Mystiera没勾信任喔..那真是太扯= = 05/24 13:11
52F:→ silencedance:主要是他之後回复说"每次都需要验证没安全感" 05/24 13:11
53F:→ silencedance:这句话怎麽看怎麽怪QQ 05/24 13:11
54F:→ categg:信任此装置指的是"你信任此台电脑可以用来合法登入" 05/24 13:11
55F:→ silencedance:My大 你是说你弟用你的帐号 勾选信任後登入吗? 05/24 13:12
56F:→ TCBeliever:没勾信任就应该要每次都要输入才是合理的..明显有bug? 05/24 13:12
57F:→ silencedance:还是用他的帐号勾选信任 结果你的帐号也可以登入? 05/24 13:12
58F:→ silencedance:如果是後者..靠 那这问题超大 等於他不认帐号认系桶 05/24 13:13
59F:→ silencedance:猫蛋大 这又有另一个问题 合法登入是指任何帐号? 05/24 13:13
60F:→ silencedance:还是单一帐号?My大那状况很像是任何帐号.. 05/24 13:14
61F:→ categg:常规判断都是以单帐号讨论 但问题是有些人常有两个帐号以上 05/24 13:16
62F:→ categg:但不同帐号的验证码基本上应该要不一样才会比较安全 05/24 13:21
63F:→ categg:可是如果验证码=机器识别码这就有讨论空间了 05/24 13:22
64F:→ iloveevilfar:猫蛋耶(捏爆 05/24 13:26
65F:→ categg:掐掐不要乱捏爆 05/24 13:31
66F:推 plutolord:没仔细看内容 不过同电脑不同帐号 都要认证 05/24 13:37
67F:→ plutolord:即便A帐号认证勾信任 B帐号登入一样要重新认证 05/24 13:37
68F:→ categg:原原文自爆是因为原本的讨论变成他用问句回答别人的问题 05/24 13:38
69F:→ Mystiera:正常是要这样没错 但是我的经验是这样 所以才会提出来 05/24 13:39
70F:→ categg:这不叫讨论这叫质问 其实好好讨论才比较有教学相长的效果 05/24 13:39
71F:→ Mystiera:我弟偶尔会抓一些有的没的东西 所以在家我都会把打勾取消 05/24 13:40
72F:→ Mystiera:可是忽然他就不需要输入OTP了(摊手) 05/24 13:40
73F:推 plutolord:我比较有疑虑的 是假使别人知道我的帐密 遇到手机认证时 05/24 13:42
74F:→ plutolord:输入错误会有甚麽惩罚? 如果没有有没有可能试出认证码? 05/24 13:44
75F:→ johnny007:这种认证码通常都会有时间限制 过了就失效 05/24 13:57
76F:→ silencedance:plut大基本上这不必担心 基本上认证码有效时间是30秒 05/24 14:09
77F:→ silencedance:少数是1~2分钟 这麽短得时间很难试出来 05/24 14:10
78F:→ silencedance:任何加密方式要破解 都必须先通过限制时间这一关 05/24 14:11
79F:→ silencedance:这也是为啥RSA曾经悬赏20万美金找人来破解自家产品 05/24 14:12
80F:→ silencedance:但是还是没人能破的了的原因 05/24 14:12
81F:→ silencedance:当然要猜出质数也是很花功夫就是 05/24 14:13
82F:→ vanler:如果多次输入错误验证码会被锁一小时,不用怕别人无限try 05/24 15:09
83F:→ vanler:有次到了网咖才发现手机认证挂掉时,发现这机制的QQ 05/24 15:12
84F:推 plutolord:G! 那就不烦恼了 感谢诸君解答www 05/24 15:26