willychn33 wrote:
如果金庫被破壞錢被搶...(恕刪)
如果按一次密碼就正確,那我沒意見...
如果按了幾十萬次銀行都沒有警覺(目前我的資訊是被暴力破解密碼,有誤的話當然您說的對)....
銀行沒有責任嗎?
個人積分:158分
文章編號:51947809
個人積分:371分
文章編號:51948658
個人積分:46分
文章編號:51948699
個人積分:164分
文章編號:51949359
個人積分:371分
文章編號:51958544
rexly wrote:
暴力破解不一定要在短時間內打十幾萬次.
他可以分很多天, 一次只試個幾次, 經年累月下來也很可觀.
iBrute 採用的方式其實很聰明。
他是直接引用一個微型測試集合,蒐集網路上統計最常被使用的密碼組合方式,然後一一測試。
這種作法的目的不是在攻破特定帳號,
而是讓你在一大堆人群中找到少數幾個可以用這種常用密碼攻破的蠢蛋。
不過依照 iBrute 的運作方式,
單一線緒針對一個帳號進行蠢蛋測試大概也要五到十分鐘,看網路反應速度。
連續跑一個月,大概也只能測試到 5000~8000 筆帳號。
其中有多少蠢蛋,就不得而知了。也很有可能毫無所獲。
當然,這種作法就是在亂槍打鳥,目的不是讓你攻破特定目標,
而是讓你在限定時間內盡可能多蒐集一些可利用的人頭。
很多鄉民把網路駭侵想得太浪漫了。
真實世界的網路駭侵就像闖空門,手上拿著有限的幾樣工具,
一棟樓一棟樓闖,一扇門一扇門試,運氣好有可能給你貪到沒設防的屋子。
至於屋子裡面有沒有值得拿的,那又是另外一回事。
針對特定單一目標的駭侵非常困難。
你能做的就是利用所有已知的漏洞一一測試,
而有些漏洞你只能用迂迴的方式建立跳板,
如果你對目標內部的網路組成結構不熟悉,你唯一能做的就是亂槍打鳥撒網捕魚。
可能花上數個月甚至數年的時間,仍然一無所獲。
無趣、沈悶、經年累月機械式重複毫無成就感的動作,唯一持續累積的只有失敗次數與挫折,
這就是現實世界駭客的真實樣貌。
個人積分:757分
文章編號:51959537
個人積分:371分
文章編號:51961327
個人積分:1分
文章編號:52028877
evil-aries wrote:
「聽朋友說」這件事本身就沒有公信力了,等你舉證一些「沒有 Root 也沒有開啟『允許安裝來源不明的應用程式』功能,不會隨意點選不明連結,也不安裝那種看起來很詭異的程式」還中毒的人,可能才稍微有點說服力吧!
抱歉好久沒上線了
"不會(要)隨意點選不明連結,也不安裝那種看起來很詭異的程式"你講這句話,那代表android還是會中毒阿,哈
我那位朋友當然知道"允許安裝來源不明的應用程式"這種功能也沒有開啟,但是為什麼會中毒,是因為家中小孩子去點選不明連結,才中毒的
iphone不一樣,就算你點選不明連結,安裝那種看起來很詭異的程式,也不會中毒的,是因為封閉式系統的關係
其實就只比較安全性,封閉式永遠高於開放式系統,iphone安全性也一定遠勝於android
個人積分:371分
文章編號:52029227
ait12345 wrote:
其實就只比較安全性,封閉式永遠高於開放式系統,iphone安全性也一定遠勝於android
重點不是 iOS 或 Android,
重點是 iCloud、Google Account、Microsoft Live、DropBox 等雲端服務。
iCloud 最大的問題其實並不是這個所謂暴力破解的漏洞,
而是整個人員操作的 SOP。
到目前為止,所有已知的針對 iCloud 的社交工程攻擊,主要就是兩種,
第一就是針對使用者的「釣魚信」,
第二就是針對系統策略機制的「重置密碼」。
其中最嚴重的問題就是「安全提問」這個東西,
實際上安全提問比密碼更好猜。
同時由於 iCloud 本身就是 Email 服務,
如果使用者主要就是使用 iCloud 當做主要郵件信箱,
「寄二次確認信到使用者郵件信箱」這個作法很顯然不可行。
至於其他有類似狀況的網路服務提供者,個人認為 Google 做的比較好。
Microsoft Live 是要你另外保存復原代碼(OS: 把密碼和復原代碼記在一起然後同時搞丟了咱辦?)
不然就是人工確認。
而 Google 則是同樣用安全提問,
不過 Google 會先鎖定帳號 24 小時,比較容易察覺。
個人積分:1分
文章編號:52029951
