ขนาดวิดีโอ: 1280 X 720853 X 480640 X 360
แสดงแผงควบคุมโปรแกรมเล่น
เล่นอัตโนมัติ
เล่นใหม่
我是工程師,雖然我覺得這影片解釋原理的部分對一般人應該還是有點硬,不過我可以理解這東西要解釋得清楚又要不失專業,確實很難XDDD
謝謝,我們繼續加油
其實也不是什麼新技術,主要就是手機要有安全密鑰儲存區,其實也不是什麼新東西,其餘就是RSA, "找回密碼攻擊"一樣有效,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
剛讀完計算機概論沒多久的我完全知道在講的概念是什麼而且比課本更好懂讚讚
複雜的密碼最後都變成同一組真的很有同感,自己都記不住的密碼根本沒意義呀
@imguoting 對不少人來說,他們也會忘記他們當初設定的邏輯。(尤其是年紀比較大的,而一些網站他們每年只登入一次不管是a用@,1用i、l或!,輸入時又增加難度,錯誤幾次就被鎖。我以前在新加坡某中學工作時,一些老老師會寫在筆記本上,還有一些直接寫在post it貼在筆電。
@imguoting 有個原則是所有的雜湊都只是延緩最終被碰撞回明文的手段,也就是說你要有密碼終有一天會被逆向回明文的理解在這個前提下有規則可以推演的密碼制定策略是不安全的,因為只要目標有足夠多組服務的密碼被釋出,就有可能被歸納出來的邏輯推測出目標剩餘的密碼這也是為什麼服務商除了不儲存明文密碼之外,連雜湊值都不應該保留,也不應該要求定期更改密碼因為使用者的隨機性是有限的,經常更改密碼會快速地消耗使用者的隨機性,產生明顯的密碼習慣和規則服務商如果保留了一個使用者長期多次的密碼歷史雜湊值,在這些雜湊值最終被逆向回明文的那天起,這位使用者的密碼習慣和邏輯就會受到威脅這比單純外洩一個密碼更嚴重,是一個人完整的密碼邏輯都被洩漏所以近期的資訊安全共識就是:讓使用者自行決定密碼這件事本身具有高度風險。應該用一切可能的手段,例如密碼管理服務由機器完全隨機的產生密碼或者像這期影片提到的一樣完全避免使用者自行決定的密碼。
裝置遺失或忘記密碼時,需要用回「原本較不安全的驗證方式」,這也是駭客偷取資料的主要途徑
這倒是
B,密碼記太多,變成寫在紙上OR存在手機裡頭...有的智障網頁或程式還要求幾個月改次密碼,登入錯誤還會說我輸入的是之前的密碼,也不想想誰讓我一直改的,超奇妙...
樂觀其成,現在的密碼組成機制對於提升駭客盜取難度並沒有多大幫助,卻對使用者造成很嚴重的困擾話說經常發生的 Google 帳號 / TH-cam 盜用事件的漏洞也不是密碼被破解,而是 cookie 有漏洞,換句話說就算密碼這關安全了,也還有其他方法能繞過驗證機制進行盜用
同意
而且還要連藍芽,這東西本身就有很大問題
題外話,現在的 HTTPS 就是用公鑰加密對稱式金鑰,再用對稱式加密訊息,因為公鑰加密資料比對稱式加密慢了幾千幾萬倍
這也不完全對,目前TLS在做handshake的時候很多時候是透過Diffie-Hellman反而不是公私鑰,這主要為了forward secrecy。公私鑰在這個情況下應該只會被用作數位簽章
曲博曾說過這個話題,簡單來說就是原本是輸入號密碼給雲端辨識再傳結果回終端(手機),現在改為終端辨識,少了傳輸過程就少了攔截破解的機會,但個人認為終端若是重後門程式一樣會被破解,且現在的生物辨識很不精確
你可以改用PIN然後現在的實體安全其實都做的很不錯真的擔心請買iPhone, Google Pixel或Samsung
提到iPhone,只能希望過去iCloud女星私密照外洩事件不再發生...
其實你可以研究看看FIDO標準,早在2016年就在台灣推廣了。
@@xlion 現在的實體裝置皆不安全,因為不是專門用於MFA的。
你應該有些誤解啦還是會有傳輸給伺服器驗證的流程只是把保護鑰匙的方式 從人腦換成相對更可靠的硬體安全晶片
看到QRcode那段就想到中間人攻擊,不愧是泛科學有想到要解釋這塊,使用藍牙連結來驗證真巧妙!(雖然小麻煩😅
受害者之一來了,還好正在用手機馬上發現,12分鐘被刷了NTD 6.5W
A,因為我覺得不可能換。這相當於用指紋解鎖手機,然後用手機解鎖所有東西。這樣只要手機或任何一台驗證裝置被攻破了,就相當於所有東西都攻破了。而且手機丟失會非常非常麻煩。本人就有換手機後遇到各種麻煩問題的經歷(密碼記得都無法登陸,因為OTP收不到,他們又沒實體店,只能放棄帳號了)。本質上來講這個問題是無解的,因為一旦太複雜,就會有客戶自己都用不了的情況出現。
5:18 "所使用的密碼並不會被直接用明文來儲存"很多魔幻公司:恩,有意思,下一位
笑死,我之前還看過帳密驗證寫在前端
看到這段我也笑了
有的網站的忘記密碼功能,直接寄信告訴你密碼是什麼XD
其實多數網路的危險都在於公司的爛系統,而非使用者這一端。不管是要求複雜密碼、等同於不加密的伺服端、還是根本沒在系統維護的老闆,應該立法只要公司行號的網路出現危險,公司董事長總經理主管等階級,通通用詐欺、公共危害、殺人等刑法罪嫌起訴,保證整個數位安全還擊會大改善。最有名的爛網路安全就是台灣銀行
生物驗證就是最好的驗證裝置簡單來說就是用手機生物驗證功能來確定是不是本人。一開始先設定好讓手機知道這個人是我,然後開放給企業刷卡用,只要手機確定是我企業就會讓我刷卡或登入。這種機制不錯,不會被盜用生物資料反正先試試看吧,希望未來連公務單位都可以省去身分證健保卡
生物驗證的一大弱點是你沒有辦法去更改萬一生物驗證的algorithm或者是data被盜取破解了,你沒辦法換另一個指紋或者faceid或者瞳孔😅
這樣說來,以後也許不能再任意在外吃東西如果有人在觀光區開了一個臨時飯館沒有裝潢那種然後只要有落單或是極少數的客人將安眠藥加進去將所有人迷暈就能將受害者的資產全部轉移每作案一次換一個觀光區
印象深刻的數位鑰匙第一次使用時根本手忙腳亂,基本原理顛覆傳統。了解流程後是挺方便的
我的指紋辨識每過一段時間就要更新一次,舊的會漸漸辨識不出來。passkeys理論上會比較安全,但也可能會造成我新的困擾。如果重設新指紋的方式不夠安全,反倒會產生弱點,兩難啊。
2:40 真的不管是誰介紹非對稱性加密 都會有Alice跟Bob XDDD
真的...
主流教科書都是寫Alice跟Bob,當然就沿用囉~
本來想換成更在地一點的稱呼,但...
不用alice bob全身不對勁XDD
資安教科書都是用這兩位
那手機就身分. 目標就是盜取手機做為網路身分.你不在是你.你手機才是你~
要指紋或掃臉阿..只有手機也沒用
想起以前流行的用采取指纹来验证的方法……手机表面必然拥有主人的指纹所以……如果还要“理论定位”+提问+“立体扫脸”也许能提防?我希望有『批准者、申请者、使用者』记录。如大马手机号码要登记,但柜台服务员人可能偷备份……某些部门申请没有安程序标准,会被盗用者滥用身份……
@@dog840810 只要想想把公鑰貼在臉上, 手指是公鑰印章. 然後你整天曬公鑰臉或隨處按公鑰印章~
IRENT也示範不用密碼直接讓黑客隨便看客戶信用卡資料很安全
錯誤示範
更多時候駭客會直接攻擊網站伺服器,根本不會直接對使用者進行攻擊
更甚至握有個資的私人企業或政府部門毫不在意資安,任由個資外洩iRent個資外洩就是超級誇張的例子
至少可以確定三大巨頭的資安是可信的如果三大巨頭被攻擊成功,那是世界等級的資訊犯罪,足以稱作黑天鵝事件了
@@henrylin4667 律師函警告⚠️
不過像 Google 這種伺服器安全強度就很適合用生物驗證,反正我是沒聽過有人駭進去他的伺服器,都是用釣魚、遠端或 cookies 駭 client 端,生物驗證+裝置連藍芽掃 QRcode 至少能擋掉釣魚和遠端
當然是選擇選開源的專案 自架密碼管理Server+Passkeys support私鑰跟密碼還是要自己保管 不想給雲服務商
如果有時間弄的話QQ我也是覺得密碼自己存最安心
自架,到底有多少人能做到
看過一部電影還是美劇,不記得名字了,只記得有一幕中,主角把手機螢幕去照一個屍體的臉,然後用他的手指登入手機。防不勝防。
我一直想要清楚定義所謂的無密碼到底是做到哪裡1. 是登入的時候不需使用密碼?還是用遠都用不到密碼了?2. 首次使用需要註冊行動裝置,是不是仍需要使用密碼來驗身?3. 以Windows AD為例,登入Win時使用Passkeys做無密碼驗證,那使用不同身分以RDP, Samba等協定存取遠端電腦建議如何驗證4. 如需符合資安規範,密碼需定期更換,是否使用Passkeys之後就不必變更了?或者根本不具備密碼這欄位了
雖然密碼被盜用的可能性已經很低了,但我認為這種方式被盜用的可能性低很多,又更有便利性(前提是辨識不會出錯)。
我記得有看過類似的介紹公私鑰的文章,還是能暴力運算破解,只不過要付出的成本很高,大部分情況下不划算而已
未來登入失敗請使用「找回我的拇指」服務
XD
B. 終於可以不用記一堆密碼,輕鬆多了!😆
推password manager現在我在用的是unix pass,個人覺得很安全也很方便
比安控廠商PM講的還容易懂,讚讚
還有一個問題如果私鑰是放在手機那也就是只要駭客有讀取我手機資料權限那就可能繞過限制查看私鑰尤其大部分的程式 都會要求這個權限而且這個權限是一開全開只要開放了就能全部都看而不是只能在某個資料夾或是某個硬碟區塊裡面運作…當然這個私鑰可能也有某種預防破解的辦法啦
C.簡單一句話道高一尺,魔高一丈
我的指導教授就是主攻密碼學的,不得不說這門學科喔.....真的超無聊的 😅 (全部都是數學我能畢業只能說是僥倖.....
賀
视频非常好!我的OKX钱包里有USDT,并且我有恢复短语. 「pride」「pole」「obtain」「together」「second」「when」「future」「mask」「review」「nature」「potato」「bulb」 我该如何将它们转移到Binance?
一個鎖能被許多鑰匙簡單打開,稱為爛鎖但一個鑰匙能打開各種鎖,我們卻將之稱為萬能鑰匙?嗯⋯我在說啥啊⋯
其實信箱OTP沒問題有問題的是信箱的安全因為基本你的google有用F2A(2FA)手機線上二步驗證就不會被盜刷
其實也不一定,現在很多惡意的APP擁有超高權限,光是可以讀取你手機通知訊息,就可以輕易拿到傳到你信箱、簡訊的otp密碼了
讲到这个话题,就想到上海世博会时候到工商银行开了一个账号。那时候给了一个小机器,像计算机,想网路汇款就需要输入一个验证码,这个机器就是产生验证码的。必须在一定时间内输入。转账才会成功。意思跟现在台湾一些银行,支付系统用的OTP 意思差不多。视频主现在说的用指纹解锁什么的,意思都跟银行保险箱必须有兩支钥匙同时打开才行功能差不多。逻辑思考模式其实没有多大的改变,能够做到的防止被盗用的作用,碰到行家/骇客就相当于开放钱包让他们自取。现在那一个密码机10几年没用,已经没电,想用可能需要大陆的银行跑一趟,可以说劳师动众,不是一般的麻烦。不要说银行等与金钱相關的网站需要你定时换密码,但是自己有超过50个网站密码,ID。。。需要记忆,怎么可能定时变更。保密工作,想做的大家都会做,网路小偷就不会做吗?有时候最简单的方法,也许就是最好的方法。
對有富貴手的人,不管指紋解鎖有多方便都無感🥲
可以用PIN
用蘋果😏
這告訴我們,可以用最自豪的那支當其中一個指紋XD (joke)
設備丟了,找回密碼機制一樣需要記得當初設定的一些問題和答案,也很麻煩要不就是個人的生物特征會儲存在對方的服務器上,那就更不安全了
這樣的話其實只要攻破大公司防線這樣不就拿到所有私鑰會不會造成大公司壟斷之類的而且如果指紋發生變化就很麻煩我手機指紋辨識就是,手磨到毛毛的就會辨識不了
只有你的手機握有私鑰,所以並不會公司取得私鑰問題,假如有表示該公司並非使用標準規則
這告訴我們,要用最自豪的的那一支當其中一個多指紋驗證XD
就結構來說是挺安全又粉方便,但...並不是所有行動裝置都有支援指紋辨識或其他的生物辨識,再加上跨平台...PC上沒有指紋辨識器丫(高階或商用NB部份有)😅😅😅
PIN可以取代生物辨識啊
@@xlion PIN也算是密碼的一種吧
後半段才是密碼被盜取風險:服務器儲存private passkey 以便用戶還原至另一個手機。。。
帳戶「本身」的安全有別種技術來保護,設計這個的並不是傻子
@@xlion passkey 設計是很好,至於備份private key 在服務器並不在設計初衷。希望如你所說風險已經考慮下去
8:17 這個很危險,不管是哪個作業系統平台都不值得你給予這麼大的信任
听了那么多原理和metamask钱包大相径庭,基于区块链的技术打造passkey。便利性倒是挺诱人的❤
C.道高一尺魔高一丈,還是會被找出弱點
這就是技術進步的動力
道高一尺魔高一丈,現在或許可以,很快就會被駭客找到突破口
目前駭客的突破口都不是在加密上. 所以能夠減少突破口的OTP 就相當於加強防禦了.
現階段被破解的都是直接繞過根本沒人再硬剛了
所以最後那段的安全,才是黑客常用的做法,直接HACK 安卓手機或JB的IPHONE,或扮成供應商用遺失需用OTP的方法盜取帳戶
8:15 駭客:我知道該在什麼地方下手了
我看到這也是覺得問題很大
這跟區塊鏈怎麼有點類似
最大問題是如果裝置只有一台,遺失就沒了,或是使用FACEID臉部卻因事故毀容、使用指紋卻因事故失去手等等。
這只是在做身分辨識,私鑰沒了就沒了,重新產生一組公私鑰、更新公鑰即可,不至於有太大的災難。另外驗證私鑰也不一定只能用生物辨識,比方說符合FIDO標準的KEY也能當認證私鑰。
這告訴我們,要用特別的那一支當其中一個指紋XD
我家我跟我媽手機指紋都按不太出來,桃機的自動通關也採不到指紋,只能用人臉單一辨識,用手機支付時很不方便
好特殊
最大的問題還是session cookie 被盜用
現在已經不推薦使用session cookie了, 可以理解一下JWT
沒有流行的真正原因是..... 電腦端專用指紋識別裝置那片玻璃是消耗品, 用久了就會感應不良, 手機沒用過不知道, 手機廠商會很高興, 繼電池之後又找到了可以讓使用者定期買手機的漏洞, 指紋感應不良~~~~ 🤑
不管是軟體還是硬體商都很努力鼓勵大家換手機
台灣金融業還在用帳號密碼登入方式才是需要令人擔心。既古老又容易釣魚的登入方式。
C. 我是資安人員,總覺得似乎還有哪裡不對勁
👍passkeys方便多了,不必再记这么多的密码了。
講半天好像沒有講到Passkeys和Authenticator app有什麼不同?前者會比後者安全嗎?
9:31 我的答案會是C,因為是新的,還不確定整體狀況~
Key登入是個好東西
雖然很心動,可是生物認證真的超不方便,有更簡單準確的方法就更棒了
之前設定GOOGLE兩階段時就有看到無密碼的選項,然而當時不了解這甚麼東西就沒理他。了解後有意替換成Passkey登入,但由於是生物驗證身分,等到換新手機在說吧,i6s指紋有點不放心。
問題在普及速度
生物特徵是不錯!但......因為工作性質,導致生物特徵無法被辨識的狀況還是有的,有一段時期因工作內容導致,我無法用此方式登入我的裝置,最後還是需要依靠密碼登入
不知道公司團隊的共享密碼的方案?我目前是用TOPT
所以簡單來說 就是三大公司獨佔市場 其他公司想進一步創立自己的OS就很難
未來會讓其他密碼管理器來接管Passkeys的資料庫不用擔心
如果你明白個體意識是什麼,根本不用太在意這些所謂"獨佔",它們本質只是"象徵",而你是活著的。
很多銀行的郵件傳輸根本沒加密 事先知道信箱 opt被拿走也不是不可能
還有這漏洞!
但駭客只要不攻擊伺服器轉攻擊使用者帳戶就一樣可以破解,而在資安意識低落的台灣,這容易很多。看到有案例使用備援信箱向Google 請求找回原帳號,卻連備援信箱都被盜走的悲劇。
在這些之前,台灣許多公司還停留在明碼……
有個疑問,私鑰存在手機,那如果換手機時是做二手機賣掉,不就流出了嗎?
你會重置手機吧?
很多人不重置就賣就是個人問題😌
理論上, 轉賣後其他人應該無法登入, 只能重置手機.
我有個問題,很常時候駭客並不是透過帳號密碼這種方式駭入帳號的,且能繞過2次驗證,在此前提下,往後的駭客是否也能直接盜取私鑰資訊,如同原使用者同步雲端的方式駭入?
因為還有物理距離限制,加上加密,所以不是不可能,但是很不容易,如果不是資料特別有價值,對駭客沒有吸引力
等於是把鑰匙放在大公司手裡,雖然是蠻方便的 哈哈
我想應該是指本人即是鑰匙,而不必傳遞鑰匙的概念吧?
@@斌小無 是啊 但是審核的能力是放在大公司手裡的 ,假如有需要不經別人同意就登入的話,那些公司是有能力做到的,只是法律上不允許,就跟一開始的帳號密碼的狀況是一樣的,只是現在除了源頭的公司跟你之外,其他的人就更難偷登入你帳號
感覺是更方便了,但好像沒有比較安全,像是裝置遺失後的處理方式,跟之前沒有什麼差別,而很多駭客是從這方面著手盜用的
找回遺失的裝置之後仍然要由本人來透過passkeys進行登入,就算駭客擁有手機和帳號密碼仍然無法通過passkeys登入,因為帳號密碼的功能並不是用來登入網站或應用程式,只是單純的恢復passkeys的使用。我剛剛也在思考這個問題,我的理解不知道對不對但給你參考看看
不過駭客要取得登入狀態確實可以直接繞過登入這個步驟,登入狀態只能透過登入這個動作來取得算是一個普遍的誤解,因此資料仍然無法保證完全的安全😢
@@yyyqq__ 這次的影片提到裝置遺失後用帳密重新"登入",可以設定的只有"停用舊裝置"與"啟用新裝置",也就是說依然需要保留帳密,帳密依然有被盜用的價值,這並沒有達到所謂的"無帳密",所以不擁有無帳密帶來的安全,你還是要費神去記帳密,而風險依舊存在。
有個東西叫實體金鑰可以用來保護你的Google 跟蘋果帳號
@YQ L 錯,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
這很像古代,公章跟私章
我一直都搞不懂,每次扣款前都與我做確認會很困難嗎?打電話人力要求太高那用程式發送訊息,由我點擊確認後再扣款總可以吧?最恐怖的是自動扣繳,沒有任何通知錢就扣走了,也不能設定扣款金額上限之類,彷彿簽了自動扣繳的單子之後所有安全只能祈禱公司操守沒問題.
裝置壞了會很麻煩...
做再多驗證機制也沒用,只要需要驗證,就有機會被盜,電影都演過多少部了虹膜辨識?直接拿走眼珠,指紋?直接手指砍下來以前還聽過一個笑話,當事人只是身分證沒帶,即使在場所有人都可以證明當事人身分,當事人還是被拒絕認定其身分,一定要有身分證才能證明自己是人所以我們到底是因為身分證才是人,沒有身分證就不是人嗎?好像聽聞有些國家沒有身分證目前還沒有看到有效的驗證機制出現最後,影片講的,破解方式當然只要拿走實體設備就好了,你敢說手機不會被偷走嗎?先不管小偷能不能使用偷來的手機,光是讓當事人不能使用手機就夠頭大了本來是個人,手機被偷走就不被當人了
密碼打太多次會鎖生物失敗太多次會回退密碼
這麼極端 就好比說你家的門鎖就算上了一百萬道也不安全 任何一個國家機器都能使用各種方法把你家給徵收一樣 說穿上述手段最終目的只是要減少被盜用的風險使入侵成本變高罷了 讓駭客小偷不會對你家有興趣
都已經眼球被挖手指被砍了還需要擔心帳號被盜嗎?先擔心自己的性命吧
好厲害的講解
一提到public key / private key, 很多人就難理解個中原理
新漏洞被發現利用速度遠比漏洞修補還要快 通訊技術發展近年來非常快速 但未考慮資安的問題就先搶先上市 內部測試時間與項目不足 現況是發現漏洞後才開始漏洞修補 然後請消費者儘速更新...... 消費者只是拿來當成白老鼠 新技術帶來方便也帶來更多漏洞可攻擊
這種技術非常依賴手機的指紋認證 一旦遺失手機還是更換手機就會一堆帳密(或者說私鑰)遺失要重新弄 最慘的是帳密根本找不回來理論上講的都是說找的回來 實際上搞不好一堆問題一堆限制 然後一翻兩瞪眼到最後你怎麼證明該帳號(私鑰)是你的? 跟誰證明去?
所以就會出現A信箱需要你進B信箱驗證,當你開B信箱要驗證的時候,發現B信箱要進A信箱點開驗證...:3....
萬一舊手機突然壞掉了,感覺會很麻煩?
…應該也不安全,這個其實蠻多都有應用的,指紋辨識是很大的問題(變胖、變瘦、指紋擦傷、手斷),其次,私鑰與公鑰的建立於passkeys,若指紋辨識是失敗多次(位置、忘記哪個指紋等等),是否因此被凍結?公鑰與私鑰的真的彼此分別在持有者跟主機上嗎?那有類似的應用還是有人被盜或是主機方透過複製的私鑰另外用相同的ip來驗證取得?亦或者有些主機方透過密碼錯誤、指紋錯誤來盜取帳號資產。但若真的加密做的很好、指紋技術精準、私鑰僅在持有者一人且主機方不會像很多公司後台備份多個帳號密碼,那麼短期幾年內真的是可以大大降低被盜的機會且具有方便性,但長遠看反而不利,因為會越用越慢(位元),主機方不可能無限的增設機台。
這告訴我們,要增加特別的那一支當其中一個指紋XD
輸入密碼或帳號錯誤-->忘記密碼-->請設定新密碼-->新密碼不能與舊密碼相同。 乾......
一樣有漏洞。最大的漏洞就是科技公司自己,掌握每個人的個資。一樣可以隨意操作,神不知鬼不覺,成了世界級毫無約束力的政府
藍芽連結,用定位鎖定,再變更遠端位置到附近,再駭入,防得了嗎?
糟糕,想試試看
@@PanScitw 還好你看懂我說的
也就是說只要有人能臥底或駭進passkey就能知道所有營運商的資料嘍,是嗎
沒有那麼簡單,還有其他關卡
不會,公私鑰都存在大公司伺服器,而更換passkey還是用其他目前有的方式登入,想不出這樣更安全的理由是什麼。
你沒看懂吧,RSA私鑰只會在手機端, 只要把公鑰傳給伺服器而已, 當要授權時, 伺服器傳給你一個資訊到手機端, 手機端用私鑰匙加簽章後, 回傳 伺服器用公鑰認證簽章, 你要想的是私鑰丟了怎麼辦.
@@h.y-chen 我覺得你也沒看完XDD為了普及和裝置遺失救援問題, RSA 私鑰必定會再同步到系統商(Apple / Google/微軟)的伺服器。系統商如何保存這些各服務私鑰、救援流程是否能夠落實身分驗證,會變成整個驗證機制裡面最弱的部分。大部分攻擊手法幾乎都從救援流程下手。
@@bingluenzhuang 都做這行超過10年了.. 私鑰當然是放在手機的安全儲存區,不管是不是硬體的,你不同意的話怎麼會同步到系統商去,另外同步時應該也會使用點對點加密的方式傳送(例如SSL交換KEY流程)而不是直接把KEY傳到伺服器上去,這些應該都是基本中的基本,救援流程是另一回事,我在其他留言就有提到了,("找回密碼攻擊"一樣有效,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。)
私鑰一但上傳雲端,就失去意義了
可以選擇不上傳,只把私鑰保存在自己信任的裝置上,但就要承擔丟失或損壞的風險。
這次洩漏的就是...資安做得最好的銀行~ㄟ嘿!所以不管甚麼KEY都沒用XD覺得還是常用的銀行跟主要儲蓄銀行要分開常用的想要轉帳信用卡甚麼都能開~裡面放個半年生活費就好了儲蓄的就限定轉帳納些只能臨櫃辦理~網路服務除了查餘額、定存之類轉不走的其他連開都不要開但內賊難防~如果是內賊那也沒辦法
如果被人迷暈,用你的手指打開手机,用Passkeys,比起只用密碼更不安全。有無這可能?
如果你是高價值對象,就要多層保障,如果不是就可以在麻煩跟安全之間找到平衡。
密碼難記我覺得主要是安全的密碼是無規律的,而無規律正是和人類的記憶方式衝突,我想到的辦法是用符合人類記憶的方式寫出密碼,然後把符合人類記憶的密碼通過加密再生成一組無規律的密碼,加密的演算法可以每個人自定,這樣人類只要記住容易記的就行,無規律的密碼就交給自定的演算法
這會不會要讓一個人最多19個小帳?
但RAS加密很慢,這也是為什麼近年才有像WhatsApp 之類的加密其實只用RAS加密一半左右
通常都是一開始先用rsa加密交換aes的密鑰 然後之後都用aes加密了 這樣就可以保證安全和效能
生物驗證,會不會原本只想偷錢的,這下要連人一起截?
對大規模盜個資型的駭客應該不划算
目前還搞不懂怎麼用❤
會吧,總筆記一堆高難度密碼,很累,還常常忘記
所以原理上和使用網上的密碼管理器,或者使用瀏覽器幫你生成的隨機密碼好像不差太多🤔感覺主要加強的安全性應該是在綁裝置這個部份?
還有我記得以前上課的時候聽說過生物認證類的密碼Entropy並不高,如果有人拿到你的裝置嘗試暴力破解的話,說不定比現在使用密碼的方式還簡單
蠻不一樣的,私鑰的位元會多很多,而且會檢查網站
我是工程師,雖然我覺得這影片解釋原理的部分對一般人應該還是有點硬,不過我可以理解這東西要解釋得清楚又要不失專業,確實很難XDDD
謝謝,我們繼續加油
其實也不是什麼新技術,主要就是手機要有安全密鑰儲存區,其實也不是什麼新東西,其餘就是RSA, "找回密碼攻擊"一樣有效,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
剛讀完計算機概論沒多久的我完全知道在講的概念是什麼
而且比課本更好懂
讚讚
複雜的密碼最後都變成同一組真的很有同感,自己都記不住的密碼根本沒意義呀
@imguoting 對不少人來說,他們也會忘記他們當初設定的邏輯。(尤其是年紀比較大的,而一些網站他們每年只登入一次
不管是a用@,1用i、l或!,輸入時又增加難度,錯誤幾次就被鎖。
我以前在新加坡某中學工作時,一些老老師會寫在筆記本上,還有一些直接寫在post it貼在筆電。
@imguoting 有個原則是所有的雜湊都只是延緩最終被碰撞回明文的手段,也就是說你要有密碼終有一天會被逆向回明文的理解
在這個前提下有規則可以推演的密碼制定策略是不安全的,因為只要目標有足夠多組服務的密碼被釋出,就有可能被歸納出來的邏輯推測出目標剩餘的密碼
這也是為什麼服務商除了不儲存明文密碼之外,連雜湊值都不應該保留,也不應該要求定期更改密碼
因為使用者的隨機性是有限的,經常更改密碼會快速地消耗使用者的隨機性,產生明顯的密碼習慣和規則
服務商如果保留了一個使用者長期多次的密碼歷史雜湊值,在這些雜湊值最終被逆向回明文的那天起,這位使用者的密碼習慣和邏輯就會受到威脅
這比單純外洩一個密碼更嚴重,是一個人完整的密碼邏輯都被洩漏
所以近期的資訊安全共識就是:讓使用者自行決定密碼這件事本身具有高度風險。
應該用一切可能的手段,例如密碼管理服務由機器完全隨機的產生密碼或者像這期影片提到的一樣完全避免使用者自行決定的密碼。
裝置遺失或忘記密碼時,需要用回「原本較不安全的驗證方式」,這也是駭客偷取資料的主要途徑
這倒是
B,密碼記太多,變成寫在紙上OR存在手機裡頭...有的智障網頁或程式還要求幾個月改次密碼,登入錯誤還會說我輸入的是之前的密碼,也不想想誰讓我一直改的,超奇妙...
樂觀其成,現在的密碼組成機制對於提升駭客盜取難度並沒有多大幫助,卻對使用者造成很嚴重的困擾
話說經常發生的 Google 帳號 / TH-cam 盜用事件的漏洞也不是密碼被破解,而是 cookie 有漏洞,換句話說就算密碼這關安全了,也還有其他方法能繞過驗證機制進行盜用
同意
而且還要連藍芽,這東西本身就有很大問題
題外話,現在的 HTTPS 就是用公鑰加密對稱式金鑰,再用對稱式加密訊息,因為公鑰加密資料比對稱式加密慢了幾千幾萬倍
這也不完全對,目前TLS在做handshake的時候很多時候是透過Diffie-Hellman反而不是公私鑰,這主要為了forward secrecy。公私鑰在這個情況下應該只會被用作數位簽章
曲博曾說過這個話題,簡單來說就是原本是輸入號密碼給雲端辨識再傳結果回終端(手機),現在改為終端辨識,少了傳輸過程就少了攔截破解的機會,但個人認為終端若是重後門程式一樣會被破解,且現在的生物辨識很不精確
你可以改用PIN
然後現在的實體安全其實都做的很不錯
真的擔心請買iPhone, Google Pixel或Samsung
提到iPhone,只能希望過去iCloud女星私密照外洩事件不再發生...
其實你可以研究看看FIDO標準,早在2016年就在台灣推廣了。
@@xlion 現在的實體裝置皆不安全,因為不是專門用於MFA的。
你應該有些誤解啦
還是會有傳輸給伺服器驗證的流程
只是把保護鑰匙的方式 從人腦換成相對更可靠的硬體安全晶片
看到QRcode那段就想到中間人攻擊,不愧是泛科學有想到要解釋這塊,使用藍牙連結來驗證真巧妙!(雖然小麻煩😅
受害者之一來了,還好正在用手機馬上發現,12分鐘被刷了NTD 6.5W
A,因為我覺得不可能換。這相當於用指紋解鎖手機,然後用手機解鎖所有東西。這樣只要手機或任何一台驗證裝置被攻破了,就相當於所有東西都攻破了。而且手機丟失會非常非常麻煩。本人就有換手機後遇到各種麻煩問題的經歷(密碼記得都無法登陸,因為OTP收不到,他們又沒實體店,只能放棄帳號了)。本質上來講這個問題是無解的,因為一旦太複雜,就會有客戶自己都用不了的情況出現。
5:18 "所使用的密碼並不會被直接用明文來儲存"
很多魔幻公司:恩,有意思,下一位
笑死,我之前還看過帳密驗證寫在前端
看到這段我也笑了
有的網站的忘記密碼功能,直接寄信告訴你密碼是什麼XD
其實多數網路的危險都在於公司的爛系統,而非使用者這一端。
不管是要求複雜密碼、等同於不加密的伺服端、還是根本沒在系統維護的老闆,應該立法只要公司行號的網路出現危險,公司董事長總經理主管等階級,通通用詐欺、公共危害、殺人等刑法罪嫌起訴,保證整個數位安全還擊會大改善。
最有名的爛網路安全就是台灣銀行
生物驗證就是最好的驗證裝置
簡單來說就是用手機生物驗證功能來確定是不是本人。
一開始先設定好讓手機知道這個人是我,然後開放給企業刷卡用,只要手機確定是我企業就會讓我刷卡或登入。
這種機制不錯,不會被盜用生物資料
反正先試試看吧,希望未來連公務單位都可以省去身分證健保卡
生物驗證的一大弱點是你沒有辦法去更改
萬一生物驗證的algorithm或者是data被盜取破解了,你沒辦法換另一個指紋或者faceid或者瞳孔😅
這樣說來,以後也許不能再任意在外吃東西
如果有人在觀光區開了一個臨時飯館
沒有裝潢那種
然後只要有落單或是極少數的客人
將安眠藥加進去將所有人迷暈
就能將受害者的資產全部轉移
每作案一次換一個觀光區
印象深刻的數位鑰匙
第一次使用時根本手忙腳亂,基本原理顛覆傳統。
了解流程後是挺方便的
我的指紋辨識每過一段時間就要更新一次,舊的會漸漸辨識不出來。passkeys理論上會比較安全,但也可能會造成我新的困擾。如果重設新指紋的方式不夠安全,反倒會產生弱點,兩難啊。
2:40 真的不管是誰介紹非對稱性加密 都會有Alice跟Bob XDDD
真的...
主流教科書都是寫Alice跟Bob,當然就沿用囉~
本來想換成更在地一點的稱呼,但...
不用alice bob全身不對勁XDD
資安教科書都是用這兩位
那手機就身分. 目標就是盜取手機做為網路身分.你不在是你.你手機才是你~
要指紋或掃臉阿..只有手機也沒用
想起以前流行的用采取指纹来验证的方法……
手机表面必然拥有主人的指纹所以……
如果还要“理论定位”+提问+“立体扫脸”也许能提防?
我希望有『批准者、申请者、使用者』记录。
如大马手机号码要登记,但柜台服务员人可能偷备份……
某些部门申请没有安程序标准,会被盗用者滥用身份……
@@dog840810
只要想想把公鑰貼在臉上, 手指是公鑰印章. 然後你整天曬公鑰臉或隨處按公鑰印章~
IRENT也示範不用密碼直接讓黑客隨便看客戶信用卡資料很安全
錯誤示範
更多時候駭客會直接攻擊網站伺服器,根本不會直接對使用者進行攻擊
更甚至握有個資的私人企業或政府部門毫不在意資安,任由個資外洩
iRent個資外洩就是超級誇張的例子
至少可以確定三大巨頭的資安是可信的
如果三大巨頭被攻擊成功,那是世界等級的資訊犯罪,足以稱作黑天鵝事件了
@@henrylin4667 律師函警告⚠️
不過像 Google 這種伺服器安全強度就很適合用生物驗證,反正我是沒聽過有人駭進去他的伺服器,都是用釣魚、遠端或 cookies 駭 client 端,生物驗證+裝置連藍芽掃 QRcode 至少能擋掉釣魚和遠端
當然是選擇選開源的專案
自架密碼管理Server+Passkeys support
私鑰跟密碼還是要自己保管 不想給雲服務商
如果有時間弄的話QQ
我也是覺得密碼自己存最安心
自架,到底有多少人能做到
看過一部電影還是美劇,不記得名字了,只記得有一幕中,主角把手機螢幕去照一個屍體的臉,然後用他的手指登入手機。防不勝防。
我一直想要清楚定義所謂的無密碼到底是做到哪裡
1. 是登入的時候不需使用密碼?還是用遠都用不到密碼了?
2. 首次使用需要註冊行動裝置,是不是仍需要使用密碼來驗身?
3. 以Windows AD為例,登入Win時使用Passkeys做無密碼驗證,那使用不同身分以RDP, Samba等協定存取遠端電腦建議如何驗證
4. 如需符合資安規範,密碼需定期更換,是否使用Passkeys之後就不必變更了?或者根本不具備密碼這欄位了
雖然密碼被盜用的可能性已經很低了,但我認為這種方式被盜用的可能性低很多,又更有便利性(前提是辨識不會出錯)。
我記得有看過類似的介紹公私鑰的文章,還是能暴力運算破解,只不過要付出的成本很高,大部分情況下不划算而已
未來登入失敗請使用「找回我的拇指」服務
XD
B. 終於可以不用記一堆密碼,輕鬆多了!😆
推password manager
現在我在用的是unix pass,個人覺得很安全也很方便
比安控廠商PM講的還容易懂,讚讚
還有一個問題
如果私鑰是放在手機
那也就是只要駭客有讀取我手機資料權限
那就可能繞過限制查看私鑰
尤其大部分的程式 都會要求這個權限
而且這個權限是一開全開
只要開放了就能全部都看
而不是只能在某個資料夾或是某個硬碟區塊裡面運作…
當然這個私鑰可能也有某種預防破解的辦法啦
C.簡單一句話
道高一尺,魔高一丈
我的指導教授就是主攻密碼學的,不得不說這門學科喔.....
真的超無聊的 😅 (全部都是數學
我能畢業只能說是僥倖.....
賀
视频非常好!我的OKX钱包里有USDT,并且我有恢复短语. 「pride」「pole」「obtain」「together」「second」「when」「future」「mask」「review」「nature」「potato」「bulb」 我该如何将它们转移到Binance?
一個鎖能被許多鑰匙簡單打開,稱為爛鎖
但一個鑰匙能打開各種鎖,我們卻將之稱為萬能鑰匙?
嗯⋯我在說啥啊⋯
其實信箱OTP沒問題
有問題的是信箱的安全
因為基本你的google有用F2A(2FA)
手機線上二步驗證
就不會被盜刷
其實也不一定,現在很多惡意的APP擁有超高權限,光是可以讀取你手機通知訊息,就可以輕易拿到傳到你信箱、簡訊的otp密碼了
讲到这个话题,
就想到上海世博会时候到工商银行开了一个账号。
那时候给了一个小机器,像计算机,想网路汇款就需要输入一个验证码,这个机器就是产生验证码的。必须在一定时间内输入。转账才会成功。意思跟现在台湾一些银行,支付系统用的OTP 意思差不多。视频主现在说的用指纹解锁什么的,意思都跟银行保险箱必须有兩支钥匙同时打开才行功能差不多。
逻辑思考模式其实没有多大的改变,能够做到的防止被盗用的作用,
碰到行家/骇客就相当于开放钱包让他们自取。
现在那一个密码机10几年没用,
已经没电,
想用可能需要大陆的银行跑一趟,
可以说劳师动众,不是一般的麻烦。
不要说银行等与金钱相關的网站需要你定时换密码,
但是自己有超过50个网站密码,ID。。。需要记忆,
怎么可能定时变更。
保密工作,想做的大家都会做,
网路小偷就不会做吗?
有时候最简单的方法,
也许就是最好的方法。
對有富貴手的人,不管指紋解鎖有多方便都無感🥲
可以用PIN
用蘋果😏
這告訴我們,可以用最自豪的那支當其中一個指紋XD (joke)
設備丟了,找回密碼機制一樣需要記得當初設定的一些問題和答案,也很麻煩
要不就是個人的生物特征會儲存在對方的服務器上,那就更不安全了
這樣的話
其實只要攻破大公司防線
這樣不就拿到所有私鑰
會不會造成大公司壟斷之類的
而且如果指紋發生變化就很麻煩
我手機指紋辨識就是,手磨到毛毛的就會辨識不了
只有你的手機握有私鑰,所以並不會公司取得私鑰問題,假如有表示該公司並非使用標準規則
這告訴我們,要用最自豪的的那一支當其中一個多指紋驗證XD
就結構來說是挺安全又粉方便,但...並不是所有行動裝置都有支援指紋辨識或其他的生物辨識,再加上跨平台...PC上沒有指紋辨識器丫(高階或商用NB部份有)😅😅😅
PIN可以取代生物辨識啊
@@xlion PIN也算是密碼的一種吧
後半段才是密碼被盜取風險:服務器儲存private passkey 以便用戶還原至另一個手機。。。
帳戶「本身」的安全有別種技術來保護,設計這個的並不是傻子
@@xlion passkey 設計是很好,至於備份private key 在服務器並不在設計初衷。希望如你所說風險已經考慮下去
8:17 這個很危險,不管是哪個作業系統平台都不值得你給予這麼大的信任
听了那么多原理和metamask钱包大相径庭,基于区块链的技术打造passkey。便利性倒是挺诱人的❤
C.道高一尺魔高一丈,還是會被找出弱點
這就是技術進步的動力
道高一尺魔高一丈,現在或許可以,很快就會被駭客找到突破口
目前駭客的突破口都不是在加密上. 所以能夠減少突破口的OTP 就相當於加強防禦了.
現階段被破解的都是直接繞過
根本沒人再硬剛了
所以最後那段的安全,才是黑客常用的做法,
直接HACK 安卓手機或JB的IPHONE,
或扮成供應商用遺失需用OTP的方法盜取帳戶
8:15 駭客:我知道該在什麼地方下手了
我看到這也是覺得問題很大
這跟區塊鏈怎麼有點類似
最大問題是如果裝置只有一台,遺失就沒了,或是使用FACEID臉部卻因事故毀容、使用指紋卻因事故失去手等等。
這只是在做身分辨識,私鑰沒了就沒了,重新產生一組公私鑰、更新公鑰即可,不至於有太大的災難。
另外驗證私鑰也不一定只能用生物辨識,比方說符合FIDO標準的KEY也能當認證私鑰。
這告訴我們,要用特別的那一支當其中一個指紋XD
我家我跟我媽手機指紋都按不太出來,桃機的自動通關也採不到指紋,只能用人臉單一辨識,用手機支付時很不方便
好特殊
最大的問題還是session cookie 被盜用
現在已經不推薦使用session cookie了, 可以理解一下JWT
沒有流行的真正原因是..... 電腦端專用指紋識別裝置那片玻璃是消耗品, 用久了就會感應不良, 手機沒用過不知道, 手機廠商會很高興, 繼電池之後又找到了可以讓使用者定期買手機的漏洞, 指紋感應不良~~~~ 🤑
不管是軟體還是硬體商都很努力鼓勵大家換手機
台灣金融業還在用帳號密碼登入方式才是需要令人擔心。既古老又容易釣魚的登入方式。
C. 我是資安人員,總覺得似乎還有哪裡不對勁
👍passkeys方便多了,不必再记这么多的密码了。
講半天好像沒有講到Passkeys和Authenticator app有什麼不同?前者會比後者安全嗎?
9:31 我的答案會是C,因為是新的,還不確定整體狀況~
Key登入是個好東西
雖然很心動,可是生物認證真的超不方便,有更簡單準確的方法就更棒了
之前設定GOOGLE兩階段時就有看到無密碼的選項,然而當時不了解這甚麼東西就沒理他。了解後有意替換成Passkey登入,但由於是生物驗證身分,等到換新手機在說吧,i6s指紋有點不放心。
問題在普及速度
生物特徵是不錯!但......因為工作性質,導致生物特徵無法被辨識的狀況還是有的,有一段時期因工作內容導致,我無法用此方式登入我的裝置,最後還是需要依靠密碼登入
不知道公司團隊的共享密碼的方案?我目前是用TOPT
所以簡單來說 就是三大公司獨佔市場 其他公司想進一步創立自己的OS就很難
未來會讓其他密碼管理器來接管Passkeys的資料庫
不用擔心
如果你明白個體意識是什麼,根本不用太在意這些所謂"獨佔",它們本質只是"象徵",而你是活著的。
很多銀行的郵件傳輸根本沒加密 事先知道信箱 opt被拿走也不是不可能
還有這漏洞!
但駭客只要不攻擊伺服器轉攻擊使用者帳戶就一樣可以破解,而在資安意識低落的台灣,這容易很多。
看到有案例使用備援信箱向Google 請求找回原帳號,卻連備援信箱都被盜走的悲劇。
在這些之前,台灣許多公司還停留在明碼……
有個疑問,私鑰存在手機,那如果換手機時是做二手機賣掉,不就流出了嗎?
你會重置手機吧?
很多人不重置就賣就是個人問題😌
理論上, 轉賣後其他人應該無法登入, 只能重置手機.
我有個問題,很常時候駭客並不是透過帳號密碼這種方式駭入帳號的,且能繞過2次驗證,在此前提下,往後的駭客是否也能直接盜取私鑰資訊,如同原使用者同步雲端的方式駭入?
因為還有物理距離限制,加上加密,所以不是不可能,但是很不容易,如果不是資料特別有價值,對駭客沒有吸引力
等於是把鑰匙放在大公司手裡,雖然是蠻方便的 哈哈
我想應該是指本人即是鑰匙,而不必傳遞鑰匙的概念吧?
@@斌小無 是啊 但是審核的能力是放在大公司手裡的 ,假如有需要不經別人同意就登入的話,那些公司是有能力做到的,只是法律上不允許,就跟一開始的帳號密碼的狀況是一樣的,只是現在除了源頭的公司跟你之外,其他的人就更難偷登入你帳號
感覺是更方便了,但好像沒有比較安全,
像是裝置遺失後的處理方式,跟之前沒有什麼差別,
而很多駭客是從這方面著手盜用的
找回遺失的裝置之後仍然要由本人來透過passkeys進行登入,就算駭客擁有手機和帳號密碼仍然無法通過passkeys登入,因為帳號密碼的功能並不是用來登入網站或應用程式,只是單純的恢復passkeys的使用。我剛剛也在思考這個問題,我的理解不知道對不對但給你參考看看
不過駭客要取得登入狀態確實可以直接繞過登入這個步驟,登入狀態只能透過登入這個動作來取得算是一個普遍的誤解,因此資料仍然無法保證完全的安全😢
@@yyyqq__ 這次的影片提到裝置遺失後用帳密重新"登入",
可以設定的只有"停用舊裝置"與"啟用新裝置",
也就是說依然需要保留帳密,帳密依然有被盜用的價值,
這並沒有達到所謂的"無帳密",所以不擁有無帳密帶來的安全,
你還是要費神去記帳密,而風險依舊存在。
有個東西叫實體金鑰
可以用來保護你的Google 跟蘋果帳號
@YQ L 錯,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。
這很像古代,公章跟私章
我一直都搞不懂,每次扣款前都與我做確認會很困難嗎?
打電話人力要求太高那用程式發送訊息,由我點擊確認後再扣款總可以吧?
最恐怖的是自動扣繳,沒有任何通知錢就扣走了,也不能設定扣款金額上限之類,彷彿簽了自動扣繳的單子之後所有安全只能祈禱公司操守沒問題.
裝置壞了會很麻煩...
做再多驗證機制也沒用,只要需要驗證,就有機會被盜,電影都演過多少部了
虹膜辨識?直接拿走眼珠,指紋?直接手指砍下來
以前還聽過一個笑話,當事人只是身分證沒帶,即使在場所有人都可以證明當事人身分,當事人還是被拒絕認定其身分,一定要有身分證才能證明自己是人
所以我們到底是因為身分證才是人,沒有身分證就不是人嗎?
好像聽聞有些國家沒有身分證
目前還沒有看到有效的驗證機制出現
最後,影片講的,破解方式當然只要拿走實體設備就好了,你敢說手機不會被偷走嗎?先不管小偷能不能使用偷來的手機,光是讓當事人不能使用手機就夠頭大了
本來是個人,手機被偷走就不被當人了
密碼打太多次會鎖
生物失敗太多次會回退密碼
這麼極端 就好比說你家的門鎖就算上了一百萬道也不安全 任何一個國家機器都能使用各種方法把你家給徵收一樣 說穿上述手段最終目的只是要減少被盜用的風險使入侵成本變高罷了 讓駭客小偷不會對你家有興趣
都已經眼球被挖手指被砍了還需要擔心帳號被盜嗎?先擔心自己的性命吧
好厲害的講解
一提到public key / private key, 很多人就難理解個中原理
新漏洞被發現利用速度遠比漏洞修補還要快 通訊技術發展近年來非常快速 但未考慮資安的問題就先搶先上市 內部測試時間與項目不足 現況是發現漏洞後才開始漏洞修補 然後請消費者儘速更新...... 消費者只是拿來當成白老鼠 新技術帶來方便也帶來更多漏洞可攻擊
這種技術非常依賴手機的指紋認證 一旦遺失手機還是更換手機
就會一堆帳密(或者說私鑰)遺失要重新弄 最慘的是帳密根本找不回來
理論上講的都是說找的回來 實際上搞不好一堆問題一堆限制 然後一翻兩瞪眼
到最後你怎麼證明該帳號(私鑰)是你的? 跟誰證明去?
所以就會出現A信箱需要你進B信箱驗證,當你開B信箱要驗證的時候,發現B信箱要進A信箱點開驗證...:3....
萬一舊手機突然壞掉了,感覺會很麻煩?
…應該也不安全,這個其實蠻多都有應用的,指紋辨識是很大的問題(變胖、變瘦、指紋擦傷、手斷),其次,私鑰與公鑰的建立於passkeys,若指紋辨識是失敗多次(位置、忘記哪個指紋等等),是否因此被凍結?公鑰與私鑰的真的彼此分別在持有者跟主機上嗎?那有類似的應用還是有人被盜或是主機方透過複製的私鑰另外用相同的ip來驗證取得?亦或者有些主機方透過密碼錯誤、指紋錯誤來盜取帳號資產。但若真的加密做的很好、指紋技術精準、私鑰僅在持有者一人且主機方不會像很多公司後台備份多個帳號密碼,那麼短期幾年內真的是可以大大降低被盜的機會且具有方便性,但長遠看反而不利,因為會越用越慢(位元),主機方不可能無限的增設機台。
這告訴我們,要增加特別的那一支當其中一個指紋XD
輸入密碼或帳號錯誤-->忘記密碼-->請設定新密碼-->新密碼不能與舊密碼相同。 乾......
XD
一樣有漏洞。最大的漏洞就是科技公司自己,掌握每個人的個資。一樣可以隨意操作,神不知鬼不覺,成了世界級毫無約束力的政府
藍芽連結,用定位鎖定,再變更遠端位置到附近,再駭入,防得了嗎?
糟糕,想試試看
@@PanScitw 還好你看懂我說的
也就是說只要有人能臥底或駭進passkey
就能知道所有營運商的資料嘍,是嗎
沒有那麼簡單,還有其他關卡
不會,公私鑰都存在大公司伺服器,而更換passkey還是用其他目前有的方式登入,想不出這樣更安全的理由是什麼。
你沒看懂吧,RSA私鑰只會在手機端, 只要把公鑰傳給伺服器而已, 當要授權時, 伺服器傳給你一個資訊到手機端, 手機端用私鑰匙加簽章後, 回傳 伺服器用公鑰認證簽章, 你要想的是私鑰丟了怎麼辦.
@@h.y-chen 我覺得你也沒看完XDD
為了普及和裝置遺失救援問題, RSA 私鑰必定會再同步到系統商(Apple / Google/微軟)的伺服器。
系統商如何保存這些各服務私鑰、救援流程是否能夠落實身分驗證,會變成整個驗證機制裡面最弱的部分。
大部分攻擊手法幾乎都從救援流程下手。
@@bingluenzhuang 都做這行超過10年了.. 私鑰當然是放在手機的安全儲存區,不管是不是硬體的,你不同意的話怎麼會同步到系統商去,另外同步時應該也會使用點對點加密的方式傳送(例如SSL交換KEY流程)而不是直接把KEY傳到伺服器上去,這些應該都是基本中的基本,救援流程是另一回事,我在其他留言就有提到了,("找回密碼攻擊"一樣有效,手機丟了存在硬體儲存區的私鑰當然也丟了,如果服務方還是提供其他找回密碼的方式(例如寄email重設),那其實沒有提升任何安全性,除非像加密貨幣冷錢包一樣,丟了就什麼都沒了,除非你當初有抄下復原碼而且沒丟,但這門檻對現代人來說比天還高。)
私鑰一但上傳雲端,就失去意義了
可以選擇不上傳,只把私鑰保存在自己信任的裝置上,但就要承擔丟失或損壞的風險。
這次洩漏的就是...資安做得最好的銀行~ㄟ嘿!
所以不管甚麼KEY都沒用XD
覺得還是常用的銀行跟主要儲蓄銀行要分開
常用的想要轉帳信用卡甚麼都能開~裡面放個半年生活費就好了
儲蓄的就限定轉帳納些只能臨櫃辦理~網路服務除了查餘額、定存之類轉不走的其他連開都不要開
但內賊難防~如果是內賊那也沒辦法
如果被人迷暈,用你的手指打開手机,用Passkeys,比起只用密碼更不安全。有無這可能?
如果你是高價值對象,就要多層保障,如果不是就可以在麻煩跟安全之間找到平衡。
密碼難記我覺得主要是安全的密碼是無規律的,而無規律正是和人類的記憶方式衝突,我想到的辦法是用符合人類記憶的方式寫出密碼,然後把符合人類記憶的密碼通過加密再生成一組無規律的密碼,加密的演算法可以每個人自定,這樣人類只要記住容易記的就行,無規律的密碼就交給自定的演算法
這會不會要讓一個人最多19個小帳?
但RAS加密很慢,這也是為什麼近年才有
像WhatsApp 之類的加密其實只用RAS加密一半左右
通常都是一開始先用rsa加密交換aes的密鑰 然後之後都用aes加密了 這樣就可以保證安全和效能
生物驗證,會不會原本只想偷錢的,這下要連人一起截?
對大規模盜個資型的駭客應該不划算
目前還搞不懂怎麼用❤
會吧,總筆記一堆高難度密碼,很累,還常常忘記
所以原理上和使用網上的密碼管理器,或者使用瀏覽器幫你生成的隨機密碼好像不差太多🤔
感覺主要加強的安全性應該是在綁裝置這個部份?
還有我記得以前上課的時候聽說過生物認證類的密碼Entropy並不高,如果有人拿到你的裝置嘗試暴力破解的話,說不定比現在使用密碼的方式還簡單
蠻不一樣的,私鑰的位元會多很多,而且會檢查網站