作者earltyro (伯茶)
看板StupidClown
标题[大哭] 番号密码
时间Sat Jul 25 13:27:35 2020
公司电脑的密码
需要最少8个字母 大小写数字符号
而且 使用公司电脑时
在其他网站的登入EMAIL 或 网页其他任何位置
输入了公司那组密码
就会被警告 而且 需要换新的密码
前阵子 平常我在用的10组 都已经被用了一轮了
就换上史上最经典AV番号 [NYKD-054] 作为密码
想说 这应该不可能 会有任何地方错误输入了吧
结果前几天
朋友在FB问:你上次说那个很诡异的AV是什麽
我回:NYKD-054
突然顿悟 欸 不对 那是我的密码
30秒之後 跳出来IT警告EMAIL:
您在某网页输入了公司密码 请於7天内更改
我还能用什麽密码啊啊啊啊啊!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 58.96.221.212 (新加坡)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/StupidClown/M.1595654857.A.F34.html
※ 编辑: earltyro (119.56.109.149 新加坡), 07/25/2020 13:29:31
1F:推 whocare96 : 公司密码我们都只换第一码,1到0跑一轮就10组了07/25 13:33
2F:推 linneoneo : 哈哈哈07/25 13:36
3F:→ Emeow : 改05507/25 14:23
4F:推 hinoakane : 我还真的去搜寻了! XXD07/25 16:22
5F:推 qaz060723 : 只好再换一组番号了!07/25 16:29
6F:推 breakblue : NYKD那一系列再去找一部你看不下去的就好了07/25 16:37
7F:推 KKyosuke : 把-改_啊..07/25 19:25
8F:推 nextbit : 今天日期JULY2507/25 19:39
9F:推 guanhao : 所以你同事上班用公司电脑搜寻NYKD54???07/25 19:40
10F:推 transiency : 好酷的功能,文组的新闻。07/25 20:03
11F:推 MengXian : 别用番号好了,改换神的语言如何?07/25 20:20
12F:推 pidmr : 银行英文缩写+银行卡号 A对应B B对应C C对应A07/25 20:21
13F:推 Squidward : 这部真的很经典 超推荐07/25 20:27
14F:推 thewtf : ssni_05207/25 21:11
15F:推 bukie09 : 笑死07/25 21:14
16F:推 haleytll : 所以信用卡号安全码、私人密码、输入的文字全都被07/25 23:37
17F:→ haleytll : 「分析」了,至於有没有在server上保留history就…07/25 23:37
18F:嘘 fphaha : 所以公司监控你键盘打什麽,公司密码明文储存…?07/25 23:44
公司只能监控我在浏览器上打了什麽
如果在电脑装STEAM 倒没问题
19F:→ fphaha : 按到嘘晚点推回来07/25 23:44
20F:推 fphaha : 补推07/25 23:47
哈哈哈 好诚实的F大
21F:推 hoo114 : 改用注音密码呢 07/25 23:59
22F:推 SHOOTA : 你们公司的侦测太可怕了,完全监视耶07/26 00:19
23F:推 WildfootW : 推 18 楼.. 这样听起来资安风险更严重 到底为什麽07/26 00:49
24F:→ WildfootW : 要改密码07/26 00:49
25F:推 fcz973 : 我们要16码,含数字符号及两个以上英文07/26 00:58
16的话 听说都写歌词
26F:→ lylianna : 好可怕 这样监控可以的喔 07/26 03:00
反正公司电脑 是说他也没有叫我用来登入FB啦
27F:→ zzz54666 : 某些公司这麽严很正常吧 07/26 03:11
28F:→ Michaelse7en: 明码储存的公司很重视资安 XD 07/26 03:12
29F:推 wtfconk : 公司系统居然可以侦测你们自己设定的密码…有够毛 07/26 05:22
30F:→ wtfconk : 而且就表示这些字串是明码储存在伺服器端才能比对… 07/26 05:22
31F:→ wtfconk : 夸张 07/26 05:22
32F:推 TUMUASHUN : 公司这样资安真的ok吗? 07/26 07:38
33F:推 SKYXLOVE : 这样资安才ok吧 07/26 07:41
34F:推 abc1236514 : 哇赛 公司聘员工送私人密码耶 07/26 09:26
35F:推 emilybaby : 公司资安软体那一套啊?也太强大!使用skype会顿点 07/26 09:51
36F:→ emilybaby : 吗?07/26 09:51
这我就不知道了
※ 编辑: earltyro (58.96.221.212 新加坡), 07/26/2020 10:12:43
37F:推 bottlehouse : 这样公司资安安全啊 但个人资安绝对不安全... 07/26 11:13
38F:推 rainwen : 不见得是比明码,也可能是比加密後的码,最近chrome07/26 11:22
39F:→ rainwen : 也有新功能,会把使用者密码丢到网路上去比对,看有 07/26 11:22
40F:→ rainwen : 没有泄漏风险。 07/26 11:22
41F:→ rainwen : 话说番号很多,再记一组就好,对AV大神来说应该永不 07/26 11:25
42F:→ rainwen : 缺密码XDD 07/26 11:25
43F:推 hellomotogg : 比对hash吧 所以也不知道你输入哪组 07/26 11:49
44F:→ timerptt : 不大可能是比加密後的吧,这样超耗计算资源07/26 11:53
45F:推 likeyousmile: 现代cpu都有专门算加密的指令集,耗资源非常少。除 07/26 12:03
46F:→ likeyousmile: 非你用非正规的加密07/26 12:03
47F:→ likeyousmile: 担心自己密码是明码还是hash吧 07/26 12:03
48F:→ timerptt : 除非有记录设定的密码长度,不然一串句子要算超多 07/26 12:08
49F:→ timerptt : 次欸 07/26 12:08
50F:→ lucky1lk : miaa的阿 07/26 12:27
51F:→ KKyosuke : 以公司的立场在公用电脑上为啥要在意你的个人资安.. 07/26 12:42
52F:推 festa : 把符合公司密码规则的字串捞出来应该不多啦 07/26 12:54
53F:推 festa : chrome是比对网路上外泄的帐密吧 07/26 13:00
54F:→ festa : 反而浏览器储存密码应该都是明码再另外加密 07/26 13:02
55F:推 MuteSun : 个人推CSCT-002 07/26 13:38
56F:推 allesvorbei : 就番号+1QAZ这类的吧,好记07/26 13:44
57F:推 hhwyy : 这个推文应该在聪明版吧哈哈哈 我完全看不懂07/26 14:29
58F:推 seanqqq : 我都换最後一码,0到9用完一轮就30个月了07/26 15:11
59F:推 b0920075 : 这样每打几个字就会传送到伺服器运算比对?感觉消 07/26 15:24
60F:→ b0920075 : 耗量不小阿07/26 15:24
61F:推 TobyH4cker : 肯定明文储存密码明文搜寻啊闹 07/26 18:37
62F:推 kirbycopy : 不懂资安 但实务上一堆人因为常换密码而把密码用个 07/26 20:00
63F:→ kirbycopy : 记事本放桌面或是贴个便条纸在萤幕上 更容易被有心 07/26 20:01
64F:→ kirbycopy : 人士拿去用 07/26 20:01
65F:推 ge781221 : 用乱数产生吧 07/26 20:50
66F:推 hms5232 : 杂凑和加密不一样...07/26 22:31
67F:→ gilingking : 很正常吧 不然干嘛叫公司电脑 07/27 03:06
68F:推 ym951305 : 我都拿以前储值点数的卡片密码来用 又长又难记 还07/27 05:05
69F:→ ym951305 : 好很难搞丢(x 07/27 05:05
70F:推 badbadook : 好屌 07/27 05:18
71F:推 yongguo : 推楼上..XD用公司电脑维护自己资安好像误会了什麽 07/27 05:43
72F:推 x753951 : 比对加密後资料检查密码是否外泄??问题在於如果密 07/27 05:46
73F:→ x753951 : 码没有特别定义长度,那系统怎麽知道要取多少字串做 07/27 05:46
74F:→ x753951 : 加密??如果要先比对字串在做加密计算,比对的过程 07/27 05:46
75F:→ x753951 : 不就是明码的方式记录了??还是我误会了什麽?? 07/27 05:46
76F:→ da21510 : 按送出的时候才会比对吧 07/27 07:03
77F:→ da21510 : 难道有登入页面是不用按确定就告诉你对不对的吗 07/27 07:03
78F:推 festa : 不会告诉你不对,但是会告诉你不符合密码规则07/27 07:12
79F:推 cjy0321 : 我们公司要求要数字英文间隔 结果大家都是a1a1a107/27 09:05
80F:推 jyunwei : 所以你公司明码保有你的密码并且监控你键盘所有的07/27 11:54
81F:→ jyunwei : 键入喔?这麽严格的监控却可以上FB私讯 07/27 11:54
82F:→ jyunwei : 计算Hash那他在FB所有发言的长短排列组合都要Hash07/27 11:55
83F:→ jyunwei : 一次比对? 07/27 11:55
84F:→ jyunwei : 看内文如果原po就只输入密码然後发request有可能 07/27 11:57
85F:推 Litfal : https怎麽拦截?特定浏览器还是全域key hook啊 07/27 12:33
86F:推 festa : 先检查密码规则吧,有符合密码规则的才hash吧 07/27 13:04
87F:推 ervsj : 这个资安控管满仔细的XD 07/27 13:05
88F:推 yangway : 我的借你用吧 JI3cl3rmp4rmp407/27 13:59
89F:→ gogohell2003: 能监控键盘输入就代表有心人可以看到你输入的每一字 07/27 14:03
90F:→ gogohell2003: 可以增加不少茶余饭後的聊天话题07/27 14:03
91F:→ gogohell2003: 当然啦 同一把刀拿在google或卫士360手上是不一样的 07/27 14:07
92F:→ taoqi : 太闹了吧XD 07/27 14:53
93F:推 lwrwang : 一定是键盘侦测程式, 07/27 14:56
94F:→ lwrwang : 重点是你的公司密码还能以明码的方式在程式中比对, 07/27 14:58
95F:→ lwrwang : 这比较危险吧 07/27 14:58
96F:推 Litfal : hash没办法用sliding window做优化,否则会被反推, 07/27 15:07
97F:→ Litfal : 不适合做密码杂凑用。时间复杂度是O(n),n等於输入 07/27 15:07
98F:→ Litfal : 字数,每次跑一次hash,运算量其实不小。明码比对也 07/27 15:07
99F:→ Litfal : 是O(n),但每次只需要比对一个字元,非常快。 07/27 15:07
100F:推 Jekk : 这公司资安超糟糕的吧 任何人只要收到信不就代表公07/27 15:12
101F:→ Jekk : 司有这组密码了?07/27 15:12
102F:推 peacesignv : 这篇的推文好不笨07/27 20:35
103F:推 bloodclod : 用英文打注音密码,只要记中文 07/28 02:10
104F:推 PoteeTien : 修但几勒为什麽推文都在讨论资安啦07/28 06:42
105F:推 yorurin : 怎麽感觉跟我卖肝事务所87%像,所以大家後来都用键 07/28 07:58
106F:→ yorurin : 盘第几排轮流按... 07/28 07:58
107F:→ jack99310349: 我是不能跟前3次相同,所以就改4次 07/28 11:18
108F:推 ken812025 : 超讨厌频繁换密码的 最後都变成抄在纸上放电脑旁 07/29 00:42
109F:推 fly616327 : 这片推文完全看不懂QQ 07/29 17:54
推文的都没什麽笨故事吧
是说怎麽没人转科技版
※ 编辑: earltyro (58.96.221.212 新加坡), 07/29/2020 20:55:26
110F:推 i9100 : 一定是明码.楼上L有说.不然一段话含密码加密比对太 08/01 06:48
111F:→ i9100 : 夸张.我想不透的是现在都https,如何得知输入什麽字. 08/01 06:48
112F:→ i9100 : 本来猜pc有键盘监控程式,但原po又说只有浏览器 08/01 06:49
113F:→ i9100 : 只能猜chrome extension 08/01 06:49
114F:推 onlyyou0601 : 那些说个资不安全的,在上班时间其实本来就不该做 08/01 22:38
115F:→ onlyyou0601 : 自己的事吧?我知道摸鱼大家都会,我也会,但这本 08/01 22:38
116F:→ onlyyou0601 : 来就是一件不该发生的事情,所以也不能怪公司系统 08/01 22:38
117F:→ onlyyou0601 : 监控啊,谁让你在上班时间登入FB或是上网输入信用卡 08/01 22:38
118F:→ onlyyou0601 : 号网购啊? 08/01 22:38
119F:推 apple00 : 用公司网路下载A片会被公布出来这样 08/03 09:37
120F:推 a2470abc : 不一定是明码吧 听起来是用extensions抓request的密 08/19 01:23
121F:→ a2470abc : 码栏位hash比对 这样听起来比较合理一点 当然如果是 08/19 01:23
122F:→ a2470abc : 直接撷取hid输入就难解了 08/19 01:23
123F:推 zxc1020305 : 公司的电脑+公司的网路,你处理的理论上也都是公司 08/24 15:53
124F:→ zxc1020305 : 的公事,这还好吧 08/24 15:53
125F:推 sasdj2418 : 感觉应该是键盘监控,可以试试看虚拟键盘能不能解 08/24 22:09