Re: [詢問] Gmail 兩階段登入真的比較安全嗎?
※ 引述《abramtw (Fletcher)》之銘言:
: 請教一下:
: 如果Gmail改用兩階段登入, 會有一組16個字元的outlook或手機app登入密碼
: (其實還有好幾組備用).
: 那這組密碼長時間都不會改變的情況下, 不就容易被人用outlook夠多次登入破解?
: 而且這組16字元密碼都是英文字母, 沒有非字母符號如: #_%$
: 這樣比較起來, 自己定期變換密碼, 可以設定超過16個字元還可以加上非字母符號
: 不是反而比較安全嗎?
: 謝謝大家的意見!
: ╭ ﹀◇﹀〣
並不會。直接講破你的一個盲點。當你恢復傳統密碼防禦的時候,你要使用各種客端
都需要輸入密碼驗證身份。可是你並不知道這些客端是否會儲存你的密碼?編碼儲存
或明碼儲存?與伺服器通訊過程中是加密通訊還是明碼通訊?只要有任何一個漏洞,
你的帳號就有機會被劫持了。可以說在你不清楚客端的機制時,套用一句對岸說的,
你就是在裸奔。
Google 也不是笨蛋,可以讓某人一踹再踹而毫無反應。除非你能夠不停的變換 IP,
否則一組 IP 只要嘗試個兩三次就會被封鎖了。
而且使用 ASP,可以每一個客端放一組。第一個好處是即使這個客端產生漏洞而使得
這組通行碼被取得,這組通行碼也無法用來登入你的帳號修改設定。這組通行碼確實
可以做一些事情,但是要完整的權限還是得靠二階段驗證才行。第二個好處是當你覺
得通行碼有洩漏之疑時,可以立刻停用某組通訊碼,只有使用這組通訊碼的客端受影
響,而非所有客端通通受影響。
可是傳統密碼,只要一漏出去,在你還沒反應之前你的帳號就掰了。
最理想的情境就是不必用到不支援二階段認證的客端,例如 Outlook。這樣可以大幅
減少危機。所以 Google 才會鼓勵開發者呼叫 API 做身份認證而不是用傳統的密碼
登入方式。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.91.236
※ 文章網址: http://www.ptt.cc/bbs/Google/M.1400580020.A.9EE.html
推
05/21 06:10, , 1F
05/21 06:10, 1F
→
05/21 06:12, , 2F
05/21 06:12, 2F
→
05/21 06:12, , 3F
05/21 06:12, 3F
→
05/21 06:13, , 4F
05/21 06:13, 4F
其實也沒那麼好破解。ASP 長度為 16 個字元,每個字元可填入 26 個英文字母任一,
組合為 16^26 總計 20,282,409,603,651,670,423,947,251,286,016 組(約 20萬兆兆
強)種組合。而面對這種固定型態的密碼或通行碼,定期更換是最安全的作法。
※ 編輯: DeimosJ (118.163.152.138), 05/21/2014 13:09:26
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
Google 近期熱門文章
PTT數位生活區 即時熱門文章
16
27
