作者:
DeimosJ (DeimosJ)
2014-05-20 18:00:18※ 引述《abramtw (Fletcher)》之銘言:
: 請教一下:
: 如果Gmail改用兩階段登入, 會有一組16個字元的outlook或手機app登入密碼
: (其實還有好幾組備用).
: 那這組密碼長時間都不會改變的情況下, 不就容易被人用outlook夠多次登入破解?
: 而且這組16字元密碼都是英文字母, 沒有非字母符號如: #_%$
: 這樣比較起來, 自己定期變換密碼, 可以設定超過16個字元還可以加上非字母符號
: 不是反而比較安全嗎?
: 謝謝大家的意見!
: ╭ ﹀◇﹀〣
並不會。直接講破你的一個盲點。當你恢復傳統密碼防禦的時候,你要使用各種客端
都需要輸入密碼驗證身份。可是你並不知道這些客端是否會儲存你的密碼?編碼儲存
或明碼儲存?與伺服器通訊過程中是加密通訊還是明碼通訊?只要有任何一個漏洞,
你的帳號就有機會被劫持了。可以說在你不清楚客端的機制時,套用一句對岸說的,
你就是在裸奔。
Google 也不是笨蛋,可以讓某人一踹再踹而毫無反應。除非你能夠不停的變換 IP,
否則一組 IP 只要嘗試個兩三次就會被封鎖了。
而且使用 ASP,可以每一個客端放一組。第一個好處是即使這個客端產生漏洞而使得
這組通行碼被取得,這組通行碼也無法用來登入你的帳號修改設定。這組通行碼確實
可以做一些事情,但是要完整的權限還是得靠二階段驗證才行。第二個好處是當你覺
得通行碼有洩漏之疑時,可以立刻停用某組通訊碼,只有使用這組通訊碼的客端受影
響,而非所有客端通通受影響。
可是傳統密碼,只要一漏出去,在你還沒反應之前你的帳號就掰了。
最理想的情境就是不必用到不支援二階段認證的客端,例如 Outlook。這樣可以大幅
減少危機。所以 Google 才會鼓勵開發者呼叫 API 做身份認證而不是用傳統的密碼
登入方式。