顯示廣告
隱藏 ✕
※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2024-03-13 16:08:10
看板 C_Chat
作者 KyrieIrving1 (King of Dallas)
標題 [閒聊] 不為人知的工程師內幕
時間 Wed Mar 13 10:16:08 2024


不為人知的工程師內幕

https://i.imgur.com/8IQl4hC.jpg
[圖]


0_o

乾我真的看不懂

有沒有工程師能解釋一下XD

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.214.154 (臺灣)
※ 作者: KyrieIrving1 2024-03-13 10:16:08
※ 文章代碼(AID): #1byGngDy (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710296170.A.37C.html
Giornno: 為什麼密碼對了和第一次登入是帳號或密碼錯誤啊1F 03/13 10:17
AVideoIsTrue: 就是你第一次帳號密碼打對了,還是會跟你說登入錯2F 03/13 10:17
AVideoIsTrue: 誤,要你再試一次
s7503228: 你第一次登入的時候不管你密碼打對還是打錯都給你錯誤4F 03/13 10:17
s7503228: 這是某種防盜機制 避免你用機器人洗密碼測試
s7503228: 因為你第一次錯誤了 機器人就會當作這密碼不能用 跳過這
s7503228: 一組
BSpowerx: 你有沒有遇過那種明明輸入過跟你講錯,試了好幾個密碼繞8F 03/13 10:18
BSpowerx: 一圈又回到一開始的密碼就正確了的狀況
laigeorge89: 插USB孔的概念10F 03/13 10:18
s7503228: 很爛 使用體驗也很糟 但對防盜而言很實用XD11F 03/13 10:18
AVideoIsTrue: 以前有個故事是,會故意第一次阻擋你登入,然後檢12F 03/13 10:19
AVideoIsTrue: 查第二次輸入的資訊跟第一次對不對,判斷你是不是
AVideoIsTrue: 真的記得帳號密碼
SangoGO: 防止暴力破解密碼,但使用者會懷疑人生的設計15F 03/13 10:19
b325019: 防暴力破解有用但是很靠北16F 03/13 10:20
SangoGO: 暴力破解密碼:密碼有100,000種可能,那就試100,000次17F 03/13 10:20
ymsc30102: 然後再多加個失敗三次鎖定N時間對吧18F 03/13 10:20
Giornno: 原來如此19F 03/13 10:21
sorochis: 圖片上面有寫啊,防止暴力破解20F 03/13 10:21
wu19911009: 對機器人有用,但但我很不友善21F 03/13 10:21
marx93521: 就有效但使用者體驗極差的設計22F 03/13 10:21
Giornno: 靠腰,我已經養成不太看註解的習慣了...23F 03/13 10:21
sorochis: 假設機器人設定四位數數字密碼,他會從0000~9999每次+124F 03/13 10:21
SangoGO: 類似的機制還有三次錯誤就冷卻15分,期間不管怎麼試就算25F 03/13 10:22
SangoGO: 是試到正確的也跳密碼錯
sorochis: 去嘗試,如果你密碼是1111,那機器人從1110失敗後會+1變27F 03/13 10:22
sorochis: 1111,然後雖然密碼對了但是是初次登入,所以還是會失敗
sorochis: 這時機器人就會+1嘗試1112,但1111就永遠不會再試了
henry1234562: 如果是錯三次會鎖住的 這種設計就是搞人30F 03/13 10:23
henry1234562: 因為每個地方密碼要求不同 用的就可能好幾組
SangoGO: 但資安就是防盜優先便利性就是了32F 03/13 10:24
henry1234562: 我試第一次錯了我會以為我用的是別組去試別組33F 03/13 10:24
henry1234562: 所以你要搞這套你密碼就不要要求一堆
leo255112: 我怎麼覺得這應該會有效,持有者會很問號而已XD35F 03/13 10:24
o07608: 安全和便利一向是互斥的,沒辦法36F 03/13 10:24
SangoGO: 儘管資安永遠是人最不安全(37F 03/13 10:24
XFarter: 只能說很有效的防止了機器人的 Brute-force,但會讓使用38F 03/13 10:25
XFarter: 者想對開發者 Brute-force
henry1234562: 什麼英文也有大小寫 要有特殊符號的都是搞人40F 03/13 10:25
kuma5566: 幾種密碼換著用的人會很幹41F 03/13 10:25
wu19911009: 特別是又要你定期換密碼的,遇上這個真的會懷疑人生42F 03/13 10:25
lbowlbow: 就是你常常第一次登入都覺得沒按對的原因啊wwww43F 03/13 10:25
Gcobs130275: 這圖超久44F 03/13 10:25
marx93521: 所以這確實對於暴力解法有效果 但使用者體驗會很差45F 03/13 10:25
SangoGO: 其實這張圖還有個重點,這個機制是秘密的,因為如果突出46F 03/13 10:26
SangoGO: 的訊息是能分辨,那就無法防止機器人了
henry1234562: 你要防暴力破解 你就不要對密碼有任何設定限制48F 03/13 10:26
o07608: 現在低標大都要求大小寫+數字了吧49F 03/13 10:26
akway: 結果搞到鎖密碼 那才好笑50F 03/13 10:26
lbowlbow: 但除非機器人第一次就打對,不然還是沒用吧51F 03/13 10:26
lightdogs: 這個真的會讓使用者體驗很差52F 03/13 10:27
cor1os: 資安最大的問題就是人,然而狗官為了彰顯自己不同都想辦法53F 03/13 10:27
henry1234562: 還有地方密碼不給升冪降冪的 有病54F 03/13 10:27
b325019: 現在真正靠北的反而是只能大小寫+數字不能用符號的反而要55F 03/13 10:27
b325019: 另外想密碼
SangoGO: 不是,這個機器人必須設計成,單一密碼要試2次才行57F 03/13 10:27
cor1os: 把自己放例外,如果不能從上而下確實落實,那資安都是屁58F 03/13 10:27
starsheep013: 「如果密碼正確,而且是第一次嘗試登入,回應密碼59F 03/13 10:27
starsheep013: 輸入錯誤」
henry1234562: 我就很討厭要求大小寫啊 要求數字我就算了61F 03/13 10:27
devilhades: 很討厭但很有用62F 03/13 10:27
cor1os: 任何事情都一樣,上樑不正下樑一定歪63F 03/13 10:27
henry1234562: 要求大小寫變成我要記得哪些地方的密碼要大小寫64F 03/13 10:28
SangoGO: 像上面那個0000-9999的案例,機器人必須連打兩次111165F 03/13 10:28
SangoGO: 才能登入成功,否則他的0000-9999全部失敗
devilhades: 但有設錯誤上限的凍結時間就很好笑了67F 03/13 10:28
henry1234562: 每一次打的前兩組就是一個有分大小寫一個沒有68F 03/13 10:28
melzard: 大小寫很有用但是很痛苦69F 03/13 10:28
YaLingYin: 原來這招是為了防盜喔?!70F 03/13 10:29
rogerlarger: 難怪沒錯都打錯71F 03/13 10:29
lightdogs: 不過的確欸 如果只是第一次登入錯誤 其實防止暴力破解72F 03/13 10:29
lightdogs: 的能力蠻有限的 應該要用不管什麼密碼第一次一定錯
henry1234562: 最好笑的是 整天說那些密碼最容易被破 啊我用最簡74F 03/13 10:29
henry1234562: 單的密碼都沒被破鍋 騙自己嗎
FertilizerN: 搞使用者76F 03/13 10:29
thelittleone: 最低標是大寫英數字,再來就特殊符號77F 03/13 10:29
thelittleone: 然後是不能111 123 abc zxc
webermist: 太噁心人了吧==79F 03/13 10:30
wedman: 原來不是我記錯 真是謝謝喔80F 03/13 10:30
Nitricacid: 其實現在一堆莫名奇妙的圖片防盜好像沒比這招好81F 03/13 10:30
b325019: 如果是db外洩通常就是拿著帳號密碼表用機器人試一輪通常82F 03/13 10:30
b325019: 錯了就直接換下一組了
henry1234562: 圖片防盜是要測你是不是機器人84F 03/13 10:30
b325019: 現在AI訓練已經到辨識率比人工高了85F 03/13 10:31
leo255112: 暴力破解是去嘗試所有可能啊,所以一組通常不會試兩次86F 03/13 10:31
o07608: 安全機制這種東西不就是以防萬一嗎?87F 03/13 10:31
tonyxfg: 這會連正常使用者都一起擋掉,因為即使這網站不設密碼限88F 03/13 10:33
henry1234562: 我可以理解資安的立場 但我是使用者我就是不爽被搞89F 03/13 10:33
CCNK: 有效但 但心情會很糟90F 03/13 10:33
leo255112: 所以這登入機制是你暴力破解中也當成錯的,就繼續下一91F 03/13 10:33
leo255112: 組了,應該是可以防禦才對
tonyxfg: 制,但其他網站有啊!而且每個網站的限制還不一樣,無法同93F 03/13 10:33
usoko: 很噁心 但是這是用人性去攻擊機器人94F 03/13 10:33
henry1234562: 因為就是浪費我時間 增加我困擾95F 03/13 10:33
sorochis: 你會設定機器人每組密碼都要連試兩次的話,工程師就會設96F 03/13 10:34
sorochis: 三次
tonyxfg: 密碼走天下,所以輸入錯誤也只會讓使用者換下個密碼,然98F 03/13 10:34
tonyxfg: 後就鬼打牆了
cloki: 搞機器人這招真的有用可是有夠噁心人w100F 03/13 10:34
ychsin: 這不就是標準的:懲罰合法使用者嗎?101F 03/13 10:35
starsheep013: 使用者輸入正確密碼要被連擋三次,這網站應該會倒102F 03/13 10:35
lightdogs: 設三次大概會被負評灌爆吧103F 03/13 10:35
starsheep013: 你還是換個資安方案吧104F 03/13 10:35
l2022134679: 啊為什麼有病105F 03/13 10:36
b325019: 這招只能用一次,需要加到第二次就該換方法了,不然就跟106F 03/13 10:36
b325019: 現在的圖形辨識一樣在懲罰使用者
ymsc30102: 再配上要求定期換密碼+不能用和最近N次相同的密碼108F 03/13 10:36
The4sakenOne: 我要吐了 這三小109F 03/13 10:37
haoboo: 最安全的還是兩階段驗證吧110F 03/13 10:38
gura9527: 還要大小寫英數字及至少一個特殊符號111F 03/13 10:38
cor1os: 兩階段驗證對那種需要共用登入的也很麻煩就是wwww112F 03/13 10:38
cor1os: 就一個系統需要很多人來維運的
cor1os: 名義上很多人join但實際上只有小貓2隻會管
hh123yaya: 多人維護的也很多用二階段阿 加入時資安提供token就好115F 03/13 10:40
lightdogs: 共用登入要安全通常都是一定時間內產生一組隨機密碼吧116F 03/13 10:40
lightdogs:  有權限的才能看到這密碼
b325019: 2fa不是綁帳號嗎正常應該是每個人的都不一樣118F 03/13 10:41
SangoGO: 圖形認證也是防機器+搞人,但就是資安VS便利性119F 03/13 10:41
SangoGO: 其實也有設計法是錯誤3次以上時才要求圖像驗證
b325019: 現在圖形辨識已經沒用了因為AI辨識率更高所以又化繁為簡121F 03/13 10:43
b325019: 改成用簡單的圖形辨識從行為判斷是不是人工
leo255112: 因為你擁有者要打兩次密碼才能登入吧XD123F 03/13 10:44
j147589: 不是啊 你知道這招的話你讓機器人每個密碼試兩次就可以了124F 03/13 10:46
j147589: 啊
f051372: 我覺得google有實裝這個東西 要強迫使用者換密碼126F 03/13 10:48
Rothax: 旁邊的一個把頭髮扯爛 一個瞬間白髮XD127F 03/13 10:48
iamoldtwo: 要打對二次密碼128F 03/13 10:48
jeremy7986: 懲罰正常使用者啊w129F 03/13 10:50
dnek: 幹還有這種功能130F 03/13 10:52
bnn: 確實有用XD131F 03/13 10:53
chang1248w: 超壞132F 03/13 10:54
ageminis: 蘋果的 iTunes 登入就要打兩次密碼,不過第一次打對並沒133F 03/13 10:54
ageminis: 有跳錯誤訊息,而是同樣提問視窗要輸入密碼
mrme945: 那我不自己記密碼,都用密碼管理怎麼辦135F 03/13 10:56
storyo11413: 幹 這有病 當我打個長串密碼結果是錯的 會崩潰136F 03/13 10:56
vivianqq30: 這種再配上次數限制才是蝦仁豬心137F 03/13 10:57
storyo11413: 加上有些使用者已經被養成錯三次密碼帳號就會被鎖138F 03/13 10:57
Blazeleo819: 跳錯誤我會以為自己記錯,根本搞人= =139F 03/13 10:58
hasroten: 防暴力破解但有用140F 03/13 10:58
Alcatraz666: 原來不是我手殘啊(X141F 03/13 10:59
kuyuzu: 太有道理了   我也真是謝謝你142F 03/13 10:59
togs: 有點白癡但防盜應該有用XD143F 03/13 11:00
delmonika: 簡單的防盜144F 03/13 11:02
[圖]
s6031417: 那機器人只要每組試兩次不就好了0.0146F 03/13 11:04
allanbrook: 真的有人這樣做喔?147F 03/13 11:05
allanbrook: 害我以為自己打錯
Tsucomi69: 不是都用雙重機制了嗎?149F 03/13 11:06
Murasaki0110: 有用個屁啊,就會去試別的直到最後被鎖150F 03/13 11:06
Tsucomi69: 知道規則就沒用了151F 03/13 11:07
BeTheFree: ??那有用網頁記憶密碼的怎辦?這樣還錯,不就會讓人發152F 03/13 11:07
BeTheFree: 現第一次一定錯誤了嗎?
siro0207: 這很容易破解吧 駭客只要自己也有個帳號 然後去嘗試該網154F 03/13 11:09
siro0207: 站是不是有用這個機制 接著就能把機器人設定試二次就好
siro0207: 終究還是二階段認證比較實用
sky001tp: 相當反人性但對資安有用157F 03/13 11:11
qoo60606: 太狠了158F 03/13 11:11
Soulimana: 如果網站可以個別設定要不要啟用這機制 就不好破解了159F 03/13 11:12
RoChing: 機器人也可以進步的啊,未來變成機器人學會試十次人類只160F 03/13 11:15
RoChing: 好都輸入十一次?然而人類會被煩死機器人不會
jpadesky: 防機器人用162F 03/13 11:17
haudoing: 感謝4樓解釋,我一直不懂有個常用的網站為什麼會這樣,163F 03/13 11:19
haudoing: 現在突然覺得很合理了
Jinkela: 喔我學校郵件的帳號也是這樣165F 03/13 11:19
miyazakisun2: 我幹你娘 登入公司系統WiFi每次都跟我說密碼錯誤166F 03/13 11:24
miyazakisun2: 還要重開機一次的原因是這喔
qize1428: 最低能的是有些要求一定要特殊符號有些又不能有特168F 03/13 11:24
qize1428: 殊符號,不能統一一下嗎?
gn0481914: 媽的看到就有氣 我的密碼自己都有筆記本紀錄,但今天早170F 03/13 11:26
gn0481914: 上微軟就跟我說我密碼錯誤硬要我重設。
tim5201314: 這東西前提是駭客沒用這個網站吧 不然每次登入第一次172F 03/13 11:27
tim5201314: 都被擋一定會發現
goldfun: 對我這種有三四種密碼在換的人有夠不友善,這樣我只會想174F 03/13 11:32
goldfun: 不起來用哪組
mumeisuki: 感覺蠻有用的欸 但一定被靠北176F 03/13 11:35
siro0207: 可以個別設定要不要啟用這機制? 這沒差啊 駭客看設定知177F 03/13 11:40
siro0207: 道有沒有這機制後 結果還是一樣 反正就讓機器人嘗試2次
siro0207: 然後沒開啟這機制的用戶 還不是一樣第一次嘗試就能進
idieh: 就算今天本人在輸,不知道這件事的情況看到跳錯誤也不一定180F 03/13 11:53
idieh: 會直接重輸一次,可能懷疑自己組合哪裡記錯改輸不一樣的啊
idieh: ,那不就反而過不了...
xoxoxxoo14: 我會以為我用別組密碼 最後試到懷疑人生183F 03/13 12:00
moon999tw: 這邏輯沒問題 哈184F 03/13 12:06
abd86731: 這個應該會設計成初次輸入對的不計入登入失敗吧?185F 03/13 12:08
abd86731: 不然信箱一堆登入失敗的信誰受得了
zz3000: 金價五擊敗!!187F 03/13 12:11
naya7415963: 等等這機制是真實存在的嗎?!188F 03/13 12:21
inte629l: 幹太靠北了吧189F 03/13 12:24
rahit: 用我不是機器人不就好了190F 03/13 12:31
WWIII: 這個好吧191F 03/13 12:31
peterturtle: 這個機制根本只會擴大資安漏洞,因為使用者收不到正192F 03/13 12:32
peterturtle: 回饋就會記憶混亂,記憶混亂就會貼便條紙記帳密,最
peterturtle: 後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所
peterturtle: 有反人類的管制機制最終都只會傷害資安
peterturtle: 以月為單位頻繁更換密碼同理
apple123773: 太靠北了197F 03/13 12:34
nacoojohn: 水喔198F 03/13 12:39
paxetin: 擊敗有用 但有更好的方法199F 03/13 12:41
awenracious: 這個弱掃應該就不會過了200F 03/13 12:46
bemoan: 機器人可以從世界各地猜密碼,便條紙只有身邊的人挖得到201F 03/13 12:55
bemoan: 確實能強化資安,結案。
EEEEEEEnd14: 真的是brute-force 就是會收到大量檢舉203F 03/13 12:58
e5a1t20: 知道要打2次就能破解了 有什麼用啊204F 03/13 13:01
e5a1t20: 只是讓使用者懷疑人生
Dayton: 因為暴力破解不會重複嘗試相同密碼206F 03/13 13:06
Dayton: 但是記得密碼的人會
Faicha: 我感覺我遇過..208F 03/13 13:11
iiKryptos: 現在很多人的密碼都是長得差不多但些微的不一樣,遇到209F 03/13 13:13
iiKryptos: 這個很容易就被鎖,哭啊
LabInfo: 爛方法,在搞正常使用者211F 03/13 13:20
comedyc8c8c8: 真的有病 以為自己記錯密碼 各種大小寫繞一圈到最後212F 03/13 13:27
comedyc8c8c8: 發覺還是本來的密碼 尼瑪德
Soulimana: 你那機器人哪知道誰沒開啟這機制啊? 當然有差啊...214F 03/13 13:30
Soulimana: 你是以為第一次就能駭進去了是不是....
Soulimana: 你的機器人第一次試錯了 要怎麼知道機制有開還沒開?
Soulimana: 你說試兩次 你這兩次的時間要多久?
feedingdream: 不看推文還以為這只是一個笑話 居然真的拿來連一般218F 03/13 13:32
feedingdream: 使用者都擋? 難怪Adobe和微軟每次忘記密碼重設都
feedingdream: 說我不能用當前的密碼 幹他媽的垃圾公司
terry12369: 爛方法沒錯,靠盃我密碼好幾組,看到錯誤我一定是換221F 03/13 13:33
terry12369: 一個密碼試==
linzero: 第一次一定錯太明顯了,要加個亂數223F 03/13 13:37
gary82gary: 超智障,什麼年代還在暴力破解,擋到的只有人而已,大224F 03/13 13:46
gary82gary: 小寫符號只是增加忘記密碼的使用頻率
siro0207: 上面就說不用管使用者有沒有開啊 只要知道有這機制就夠226F 03/13 13:47
gary82gary: 重新改密碼還顯示不能跟舊密碼相同真的超哭227F 03/13 13:48
siro0207: 了 知道後不管誰都嘗試兩次:1.使用者沒開 那機器人第一228F 03/13 13:48
siro0207: 次嘗試就登入了 根本不用再嘗試第二次 2.使用者有開 那
siro0207: 機器人第一次失敗 第二次就成功登入
siro0207: 這應該想像一下就懂了吧 所以才說根本沒差
c88tm: 超機車www232F 03/13 13:59
oyaji5566: google authenticator 就能解決的事情233F 03/13 14:40
frankexs: 原來有這種機制喔234F 03/13 15:25
rlrbc: 有啊…只是使用者會覺得體驗很差235F 03/13 15:33

--
※ 看板: ACG 文章推薦值: 0 目前人氣: 0 累積人氣: 1477 
作者 KyrieIrving1 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇