作者qw5526259 (B.K)
看板DigiCurrency
标题[闲聊] 2FA有加密功能吗
时间Sat Dec 11 21:29:17 2021
2FA
通常都用直接显示
如:123456
如果
加入必须用人工辨别的方法
例:订高铁票,一定会有一个图形辨别的英数
也就是123456加入高铁订票系统那种变形的数字
这样就比较安全了
毕竟
2FA,每30秒换一次
要破解123456的变形
只要30秒内,无法破解就OK
不知有无这种APP的2FA呢?
当然啦,这也只是多一分保障
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.224.226.226 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1639229359.A.582.html
1F:→ tornado1621: 自己写 12/11 21:30
2F:→ a79111010: 作出来也要网站有支援不是吗? 没支援也不能用 12/11 21:31
3F:推 greg7575: 好聪明! 12/11 21:33
4F:→ ofy: 2FA的totp规范基於双方约定一Key藉由这把Key跟时间计算得出 12/11 21:46
5F:→ ofy: 你说的变形数字仅是App显示的问题(无法直接复制) 12/11 21:46
6F:→ ofy: 但背後计算出的还是数字而不是图形识别..... 12/11 21:46
7F:→ ofy: 只要你能把约定好的那把Key导出来 12/11 21:46
8F:→ ofy: 换个相容totp的App一样能算出纯数字显示的2FA passcode 12/11 21:46
9F:→ ofy: 真的在意安全性你可以考虑用YubiKey这种类似硬体钱包的2FA 12/11 21:50
10F:→ l1724108: 这样应该会先搞到需要输入的自己吧 12/11 21:50
11F:→ ofy: 不过平台(交易所)的2FA要有套入这类2FA的SDK才能用 12/11 21:53
12F:推 ghb: 要我猜哪个图片有红绿灯我才不要 12/11 22:05
13F:→ ofy: Google Authenticator之所以不做云端备份是有理由的 12/11 22:12
14F:→ ofy: 让那串约定好的Key被限制在App层空间里 12/11 22:12
15F:→ ofy: 除非能碰到实机汇出功能或有root级漏洞不然基本导不出来 12/11 22:12
我提出这个的用意是
当手机万一被骇或是中病毒时
2FA,让对方无法从手机中读取
※ 编辑: qw5526259 (36.224.226.226 台湾), 12/11/2021 22:30:19
16F:→ ofy: 你是root了还是遇有漏洞的系统层App,不然纯应用层App正常的话 12/11 22:40
17F:→ ofy: 是读不到其他应用层App的私密空间档案喔!!权限不够 12/11 22:40
谢谢,了解
18F:→ cp296633: 别root 别越狱 别手动装apk ipa 安卓都从play抓app 12/11 22:47
19F:→ cp296633: 100安全就拿汰换手机原厂化 装完2fa就永久断网拔sim当 12/11 22:50
20F:→ cp296633: 硬体专用2fa 12/11 22:50
※ 编辑: qw5526259 (36.224.226.226 台湾), 12/11/2021 22:53:06
21F:推 fiiox3: 如果已经有管道撷取2FA不管是图形或数字 12/12 00:29
22F:→ fiiox3: 那个变形图要解读出来,程式比人类快多了 12/12 00:29
23F:→ fiiox3: 程式都看不懂的,人类也别想看懂 12/12 00:29
24F:推 xluds24805: 被骇了你 2fa 的 key 也就掉了呀 12/12 17:00
25F:推 Rasin: 理论上2FA也可以破解 只要几组六码输出跟输入位数 12/12 20:26
26F:推 Rasin: 建议把2FA上面注明网站跟信箱 至少把信箱删掉 12/12 20:38