作者silencedance (靜舞)
看板DNF
標題Re: [閒聊] 盜帳號
時間Fri May 24 10:21:22 2013
以下小弟非常表面的看法..大家討論一下
我不知道g社的密碼驗證機制是怎樣的
但是這世界上沒有破不了的加密系統
即使妳用的是RSA加密演算法
加密機制很重要的一個要點在於"時間"
任何的加密系統 如果沒有把金鑰 憑證或是之類的東西加上時間標籤
被破解只是遲早的事情
跟檔案存在client或是server沒有直接關係
當然存在server端要破解決對比client來的困難
但不是存在server就沒問題
這時候又要提到D3(乾 我真的很不想提 但是他在驗證這部份真的作的不錯)
D3的驗證器為何說破解不了
因為在一開始設定驗證器時 就已經將驗證器/手機的時間與server同步了
所以只要驗證器/手機還在妳手上
沒有人能知道在這30秒之內的驗證碼是啥
當然時間總是會有誤差 我猜測應該每次認證都會做一次時間同步的動作
如果驗證碼沒有時間限制 從頭到尾都同一組
只要願意花時間 遲早會被破 這也是為何時間標籤很重要的原因
※ 引述《osalucard (惡魔城)》之銘言:
: 標題: Re: [閒聊] 盜帳號
: 時間: Fri May 24 09:05:44 2013
:
: : 附帶一提,手機鎖還是沒有用的,昨天被盜的朋友有用手機鎖依然被盜
: : 真不曉得是用什麼黑科技..
:
: 這句話如果PO在哈哈姆特我想你會被酸死...
:
: Garena的手機鎖早晚會被破解的,為什麼?
: 因為驗證碼的檔案在client端,不在server端
: (client端即你的電腦,server端即garena的電腦)
: 怎麼知道是在client端?很簡單
: 只要你移除競時通,再把競時通安裝回去
: DNF就會再度要求你輸入驗證碼了
: 這就代表驗證碼的檔案存在client端了
這樣問好了 妳所謂的client是指手機還是電腦?
妳的驗證碼取得是手機還是電腦?
這個作法頂多是證明這台電腦並未經過驗證許可
但是發出了連線需求 所以傳出的封包也就不會有驗證碼訊息
所以server才回傳訊息要求輸入驗證碼
如果檔案存在client 何必多此一舉?
包一包送過去server驗證就好啦
所以我個人猜測問題可能是出在"信任此裝置"這裡可能有漏洞
: 一些正版光碟的防盜技術不斷翻新
: 但最後都還是被破解
: 最大的共通特色就是檔案都在client端
拿光碟來當例子有點怪怪的..
單機遊戲光碟裡面沒內容妳要玩啥..?
遊戲或電影光碟 不放在client要放在哪?
: 那又何況是garena的手機鎖呢?
: 所以會被破解一點也不意外
我不知道g社手機鎖的演算法怎麼寫的
但說被破解一點也不意外?
我只能假設問題可能出現在"信任此裝置上面"
或許這地方會有漏洞可以鑽
但是理論上 手機鎖如果是跟d3類似的演算法
要破解根本不符合成本效益
: 至於被盜,我想應該是帳號密碼和其他地方剛好一樣,可能是論壇,可能是遊戲
: 個資被賣掉了只是都沒有人知道,這個可能性是最高的
: 再來才是中了木馬,但除非你沒裝防毒或者你是名人
: 不然盜帳號集團也是要講求效率和投資報酬率的
: 一個一個駭客進去盜,太費時費工了
......盜帳號還要手動我還第一次聽過
前陣子八卦版的網兵DDOS攻擊有參與到嗎?
點開網頁就可以進行攻擊 還需要妳慢慢點?
最單純的暴力攻擊法 用0~9作數字排列
盜帳號還要一個一個猜?當然是用程式下去跑啊
跑完哪個可以登入了再過去手動洗光 然後程式繼續跑
:
:
:
: --
:
※ 發信站: 批踢踢實業坊(ptt.cc)
: ◆ From: 1.34.229.15
--
召▄▄▄▄▄_____▄▄▄ ▄ 鍵盤協會徵才 ▄▄▄▄▄▄▄
喚▄▄▄▄/▄▄▄▄▄ /FF 專長:鍵盤分析 早知道就 ▄ \▄▄╱▄▄▌
峽▄▄▄{▄▄▄▄▄◢
▄工作:關心比賽▄ 不轉職了! ▄▄ @▄▄▄▄
谷▄▄▄{▄▄▄▄▄▄▄▄▄▄ELO :3000 ◥
已哭 ◥ ▄▄皿▄▄▄▄▄
▄▄╲▄\▄︹▄▄▄▄▄▄▄待遇:面議 ▄ ▄▄︸ ▄▄▄
▄▄▄︴▄▄¥▄▄▄▄ ▄上班日期:即刻上工 by aresa ▄ ▄’#‘ ▄▄▄
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.222.81.253
1F:推 TCBeliever:clint -> client...... 05/24 10:25
2F:→ silencedance:XDDD 糟糕 05/24 10:26
※ 編輯: silencedance 來自: 61.222.81.253 (05/24 10:26)
3F:→ silencedance:感謝一樓指正 05/24 10:26
4F:推 intotherain:DNF用的跟D3是同一套系統啊... 哪有那麼好破 05/24 11:13
5F:→ iloveevilfar:現在garena的智慧型手機密碼鎖app宣稱”不用連網路也 05/24 11:15
6F:→ iloveevilfar:能得到驗證碼,缺少跟server交換資訊,可能有重大漏 05/24 11:17
7F:→ vanler:我在上篇也漏了e(艸 05/24 11:18
8F:→ eliteark:智慧手機驗證碼產生器原始設定就是不用連網路 05/24 11:26
9F:→ Adven:防君子不防小人 可能盜帳也是這麼一回事 05/24 11:26
10F:→ Xavy:只好彈蛋蛋了 05/24 11:27
11F:→ eliteark:只要啟用產生器前有做序號碼連結 05/24 11:27
12F:推 nobitakun:上面自爆了 0_0 05/24 11:48
13F:→ i300ml:這篇比較實在 XD 上篇作者不來這討論,在上面搞自爆做啥XD 05/24 11:49
14F:推 kevin781228:最後根本鬼打牆,可惜了 05/24 11:49
15F:→ categg:信任此裝置其實只是一種節省對方發送簡訊成本的方式而已 05/24 11:50
16F:→ categg:因為那個簡訊費是對方付的 05/24 11:51
17F:推 tothepoint:上面那篇的作者不是前陣子才發文憤怒的說不玩了嗎 05/24 11:51
18F:→ shadowdio:原文的裝懂防火牆被破解了 只好自爆 05/24 11:51
19F:→ categg:信任此裝置是用你電腦上的特徵碼跟IP去建立一個驗證檔案 05/24 11:52
20F:→ categg:伺服器是會對那個檔案做MD5檢查是不是一致 05/24 11:53
21F:→ categg:假設是拿到原檔案好了 那就表示你已經中木馬被盜了 05/24 11:53
22F:→ categg:那再假設檔案是假造的好了 問題是動一個碼MD5值就對不起來 05/24 11:54
23F:→ categg:就跟伺服器端的檔案不一樣 這樣也沒用 05/24 11:55
24F:→ TCBeliever:好吧 不會用md5 md5太弱了 05/24 11:56
25F:→ categg:還有G社用的是比較單純的被動式OTP B社用的是比較先進的 05/24 11:56
26F:→ Mystiera:原本的信任應該是這樣沒錯 05/24 11:56
27F:→ categg:動式OTP 這兩者還是有點差別 05/24 11:57
28F:→ Mystiera:可是我回家用我弟的nb 沒勾信任也自動變信任這就.. 05/24 11:58
29F:→ TCBeliever:等一下..OTP有分主被動? 能不能給個資料參考一下 05/24 12:01
30F:→ categg:你可以GOOGLE一下主動式OTP跟簡訊式OTP這兩者的資料比對 05/24 12:06
31F:推 attacksoil:其實這篇根本就是同意上篇的說法吧 卻可以說的好像是在 05/24 12:16
32F:→ attacksoil:罵批評上篇作者... 有點威 05/24 12:16
33F:→ nanari:Mystiera>搞不好你弟有在玩 05/24 12:20
34F:推 TCBeliever:那篇看起來只是某個廠商的商業文阿... 05/24 12:55
36F:→ TCBeliever:他說的方式是網頁產生認證碼->手機打簡訊送 超麻煩... 05/24 12:56
37F:→ TCBeliever:&bz是使用app的OTP..不是這種的 05/24 12:56
38F:推 TCBeliever:穩定成本是因為業者的簡訊費用轉嫁到使用者身上XD 05/24 12:59
39F:→ silencedance:嗯 我沒跟到 上一篇怎麼刪了?有八卦? 05/24 13:04
41F:→ silencedance:上一篇原文是在說因為驗證檔是存在client端 所以容易 05/24 13:07
42F:→ silencedance:被盜 我的重點是擺在"信任此裝置"上.. 05/24 13:07
43F:→ silencedance:不可否認server端的確難攻破 但說client端隨便就能 05/24 13:08
44F:→ silencedance:偽裝也太草率 05/24 13:08
45F:推 attacksoil:他也是說"信任此裝置"出問題啊... 05/24 13:08
46F:→ attacksoil:而且這篇你不是也同意在client端比較容易被破解 05/24 13:09
47F:→ Mystiera:我弟有在玩 他有信任 結果我用他電腦登入我的帳號 05/24 13:09
48F:→ silencedance:嗯?他有提到是這個機制有問題嗎?那大概是我解讀錯 05/24 13:09
49F:→ Mystiera:一開始OTP輸入以後就自動信任了 這是安全性的疑慮 05/24 13:10
50F:→ attacksoil:也可能是我解讀錯啦 05/24 13:10
51F:推 TCBeliever:Mystiera沒勾信任喔..那真是太扯= = 05/24 13:11
52F:→ silencedance:主要是他之後回復說"每次都需要驗證沒安全感" 05/24 13:11
53F:→ silencedance:這句話怎麼看怎麼怪QQ 05/24 13:11
54F:→ categg:信任此裝置指的是"你信任此台電腦可以用來合法登入" 05/24 13:11
55F:→ silencedance:My大 妳是說你弟用妳的帳號 勾選信任後登入嗎? 05/24 13:12
56F:→ TCBeliever:沒勾信任就應該要每次都要輸入才是合理的..明顯有bug? 05/24 13:12
57F:→ silencedance:還是用他的帳號勾選信任 結果妳的帳號也可以登入? 05/24 13:12
58F:→ silencedance:如果是後者..靠 那這問題超大 等於他不認帳號認系桶 05/24 13:13
59F:→ silencedance:貓蛋大 這又有另一個問題 合法登入是指任何帳號? 05/24 13:13
60F:→ silencedance:還是單一帳號?My大那狀況很像是任何帳號.. 05/24 13:14
61F:→ categg:常規判斷都是以單帳號討論 但問題是有些人常有兩個帳號以上 05/24 13:16
62F:→ categg:但不同帳號的驗證碼基本上應該要不一樣才會比較安全 05/24 13:21
63F:→ categg:可是如果驗證碼=機器識別碼這就有討論空間了 05/24 13:22
64F:→ iloveevilfar:貓蛋耶(捏爆 05/24 13:26
65F:→ categg:掐掐不要亂捏爆 05/24 13:31
66F:推 plutolord:沒仔細看內容 不過同電腦不同帳號 都要認證 05/24 13:37
67F:→ plutolord:即便A帳號認證勾信任 B帳號登入一樣要重新認證 05/24 13:37
68F:→ categg:原原文自爆是因為原本的討論變成他用問句回答別人的問題 05/24 13:38
69F:→ Mystiera:正常是要這樣沒錯 但是我的經驗是這樣 所以才會提出來 05/24 13:39
70F:→ categg:這不叫討論這叫質問 其實好好討論才比較有教學相長的效果 05/24 13:39
71F:→ Mystiera:我弟偶爾會抓一些有的沒的東西 所以在家我都會把打勾取消 05/24 13:40
72F:→ Mystiera:可是忽然他就不需要輸入OTP了(攤手) 05/24 13:40
73F:推 plutolord:我比較有疑慮的 是假使別人知道我的帳密 遇到手機認證時 05/24 13:42
74F:→ plutolord:輸入錯誤會有甚麼懲罰? 如果沒有有沒有可能試出認證碼? 05/24 13:44
75F:→ johnny007:這種認證碼通常都會有時間限制 過了就失效 05/24 13:57
76F:→ silencedance:plut大基本上這不必擔心 基本上認證碼有效時間是30秒 05/24 14:09
77F:→ silencedance:少數是1~2分鐘 這麼短得時間很難試出來 05/24 14:10
78F:→ silencedance:任何加密方式要破解 都必須先通過限制時間這一關 05/24 14:11
79F:→ silencedance:這也是為啥RSA曾經懸賞20萬美金找人來破解自家產品 05/24 14:12
80F:→ silencedance:但是還是沒人能破的了的原因 05/24 14:12
81F:→ silencedance:當然要猜出質數也是很花功夫就是 05/24 14:13
82F:→ vanler:如果多次輸入錯誤驗證碼會被鎖一小時,不用怕別人無限try 05/24 15:09
83F:→ vanler:有次到了網咖才發現手機認證掛掉時,發現這機制的QQ 05/24 15:12
84F:推 plutolord:G! 那就不煩惱了 感謝諸君解答www 05/24 15:26