創作內容

329 GP

[達人專欄] 巴哈帳密可能外流?快來了解你的帳號風險!

作者:解凍豬腳│2017-02-26 00:27:24│贊助:1,280│人氣:7696

前天巴哈姆特發表了 CloudFlare 資安漏洞相關說明公告

表示巴哈姆特的伺服器供應商有資料外流的風險

為了避免大家的恐慌,以及協助了解自身帳號的安全情況

所以小妹我就來這裡解釋一下一般大型網站的密碼儲存原理



首先來講講最白癡的做法:

假設今天小妹我的帳號是 johnny860726,密碼是 12345678

於是網站直接在資料庫裡面登錄:["johnny860726", "12345678"]

好了!會認為網站都這樣儲存密碼的人,應該沒有資訊相關背景

小妹我以前一直認為大部分的網站都是這樣儲存密碼的

後來才知道,有點程度的網站並不是這麼一回事

因為只要被駭客找到漏洞,他們可以利用語法上面的錯誤

進而取得權限,把整個資料庫的內容通通都載下來

這樣他就能知道所有使用者的帳號跟密碼了,整個網站直接爆炸

時至今日,仍有部分的網站採取這樣的做法



經過時代的演變,後端工程師(就是搞伺服器那邊的)發展出新的模式:

當使用者註冊帳號的時候,在密碼欄輸入 12345678 並送出,進行 MD5 的運算

MD5("12345678") = 25d55ad283aa400af464c76d713c07ad

接下來網站就在資料庫裡面儲存:["johnny860726", "25d5(下略)"]

這樣等到下次再登入,假設我輸入 12345679

MD5("12345679") = defac44447b57f152d14f30cea7a73cb

伺服器端就比對這個字串的 MD5 值和資料庫裡面儲存的是不是一樣

比對之後就知道這個密碼「並不是」註冊時填入的密碼,所以登入錯誤

這麼做就能同時達到「連站方工程師都不知道你密碼」和「站方可以知道你密碼對不對」兩件事

既然連站方都無法知道你密碼,就更不用說剛拿到資料庫心裡很興奮的駭客了



不過有些人不知道 MD5 是什麼,因此我們還是要解釋一下它的作用

這個 MD5 是一個「函式」(函數),它的運算方法是公開、大家都知道的

能把一個任意長度的字串轉換成「固定長度的字串」

這個字串通常是 32 位數,每一位都是 0123456789abcdef 的組合

而 MD5 函式是經過特別設計、經過大量樣本測試的

所以當初設計的科學家認為,它不容易被找出規律,也不容易產生碰撞
(所謂的碰撞就是「兩筆資料不同,但它們的 MD5 碼相同」的情況)

所以它可以把大量的資料縮減成短短的 16 bytes

讓大家只要看這 16 bytes 的內容就知道兩筆資料是不是一樣了

因此,這類的函式又被稱為「訊息摘要」、「雜湊函式」

而使用這函式的運算過程又被稱為 hash

這個就跟你用 BT 下載東西的時候看到種子檔的 hash 是一樣的道理

是為了方便讓你來辨認載下來的檔案是不是跟原本一樣,有微微防駭的作用



當然,所謂「道高一尺,魔高一丈」

MD5 本身並不是真的能 100% 防止駭客

有的駭客會老早就把 MD5 的一些運算結果記起來

譬如他們先記下 "12345678" <=> 25d55ad283aa400af464c76d713c07ad

這樣他們哪天只要能偷到別人的資料庫內容

並且遇到有人密碼的 MD5 值為 25d5(下略) 的時候

就知道可以用 "12345678" 這組密碼登入該帳號了

駭客也會利用大量的電腦把 1~N 位數字串的 MD5 值算出來

形成大筆的對應資料,以備不時之需



因此,後端工程師也會利用 SSL 加密,使得封包傳送過程都保持加密的狀態

然後把所有可能會讓資料庫內容外洩的漏洞補起來

這樣子,就可以預防更多的駭客(絕對不是 100% 預防!)取得資料



再更複雜的做法是「站方先把密碼原文混入一段字串,才做 hash」

譬如站方先把 12345678 混入 GaMeR0AfApLe

變成 1G2a3M4e5R607A8fApLe 以後再 MD5,才存入資料庫

這樣子駭客就要算到天荒地老才有機會找到同樣 MD5 的字串了

這個過程稱為「加鹽」,而這個 GaMeR0AfApLe 就被稱為 salt(鹽)



如果還嫌不夠,再更死守的做法就是:

將原文加鹽後 hash 過再加一次鹽才存入資料庫

譬如 8496a74bed7e92aa78e799b622d85a61 混入它們自訂的內容 1af3feec

變成 8496a174bed7aef92aa738ef799b6ee22d8c5a61

等到要用的時候才把這個 salt 拿掉(反正只有站方工程師知道加鹽的規則)

這樣駭客看了就會黑人問號了



※ 20 位大小寫英數字串有 7 × 10^35 種組合

也就是至少 704,423,426,000,000,000,000,000,000,000,000,000 種組合

光是儲存這麼多組合的密碼 MD5 出來的 hash 值

也需要 6.4 × 10^23 TB 的儲存空間才放得下



當然因為 MD5 本身的某些問題

現在很多網站都採用更多複雜、安全的演算法,所以上述的 MD5 只是方便舉例



所以在這種情況下,判斷自己巴哈帳號安全有以下準則:

* 伺服器的資料不是外流?
(e.g. 最近公告的伺服器資料部分「可能」外流事件)

* 密碼長度是不是很短?
(e.g. 密碼長度越長,駭客就要花更久的時間才能「算」出你 MD5 碼的值)

* 密碼內容是不是很簡單?
(e.g. zxc12345678 之類的這種垃圾密碼就別用了)

* 登入的環境是否安全?
(e.g. 有些安全措施做得很差的網咖,會被裝能側錄鍵盤的木馬程式)

* 登入的地點是否正確?
(e.g. 釣魚網站會偽裝得好像真的一樣,騙你輸入帳號密碼)



像小妹我本身就用摻有 大寫英文 + 小寫英文 + 數字 + 特殊符號 的將近 20 位密碼組合

就算跟人明講我有幾位,也幾乎攻不破,可謂資安界的典範



如果把

ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz
0123456789
~!@#$%^&*()_+=-[]{}\"':;?/<>,.

這裡面的所有字做 20 位的密碼組合

這樣就有 1.8 × 10^39 種組合

比單純「大寫英文 + 小寫英文 + 數字」的 20 位密碼還要安全兩千多倍

所以我會建議在密碼裡面摻入特殊符號



相較之下,固定八位數的「小寫英文 + 數字」密碼

就只有 2.8 × 10^12 種組合了(可見「強密碼」跟「弱密碼」差別多大)

倘若你密碼只有八位小寫英數組合的情況下

然後很不幸地,後端工程師和伺服器業者又同時耍二,不加鹽兼搞外洩

那你的帳號就會暴露在風險中了(這樣都已經很危險了,更甭說那些密碼設 123456 的人了)

不過呢,基本上巴哈姆特工程師不會出這麼大的包,該有的措施還是都會做

而且巴哈伺服的供應商 Cloudflare 也說「帳號密碼相關外洩率小於 330 萬分之一」

即使你是那 330 萬分之一的人,也可以好好放心



當然如果你的密碼位數很少的話

我還是會建議你弄個超級複雜的密碼,這是長久之計,任何網站都一樣

我也是最近才弄個長得像 3e$8e54bFjS#2Xkdzv 的東西來當密碼

然後把各大網站的密碼都改得像這樣一樣複雜

這種類型的密碼可以說是靠杯難記,但是卻靠杯安全

就算你直接在別人面前打密碼,他們也盜不了你的帳號

因為他們大概興奮完就忘記你當時打了什麼密碼了(除非他是雨人)

初期為了怕睡一覺就忘掉,我還特地先抄下來收好

等到確定自己每次都可以不用思考就打出密碼的時候,才把抄下來的紙銷毀

因為多用幾次,腦袋就會自動記起來了,所以不用擔心以後登入都要想半天

不過呢,如果你想要效仿小妹我用這種很複雜的隨機字串當密碼

得要注意有些網站(例如以前的 Pixiv)密碼不能有特殊符號

我的解決辦法是只要遇到 # 就改成 3、遇到 @ 就改成 2,以此類推

然後遇到 { 或 ? 這種沒有對應數字的就一律以 z 之類的文字替代

所以剛剛的那組範例密碼就會被設為 3e48e54bFjS32Xkdzv

這樣就不需要因為該網站的規定而害你要多記一組密碼了

以上是小妹我預防駭客盜帳號的全套攻略



因為這陣子有人來信詢問巴哈的資安問題,所以特此說明

希望大家會喜歡這篇文章



 
引用網址:https://home.gamer.com.tw/TrackBack.php?sn=3492856
All rights reserved. 版權所有,保留一切權利

相關創作

同標籤作品搜尋:資訊|安全|資安|帳號|密碼|外洩|外流|巴哈|巴哈姆特|駭客

留言共 71 篇留言

可悲仔

搶頭
豬腳優質文

02-26 00:33


二香哈

02-26 00:38

彈珠 滾!
懶得改~~而且每次輸入不會很久嗎…

02-26 00:42

解凍豬腳
我個人是三秒把 16~20 位打完
就像你現在輸入你的密碼可以非常順手一樣02-26 00:44
弦月黑羽
專業的沒話說…
我只看了10行…

02-26 00:43

解凍豬腳
啊啊、其實這個並不難懂喔[e12]
撇除那些術語,慢慢看的話,還是可以了解原理的02-26 00:45
qwopz
U質

02-26 00:45

餿皮
長知識了 感謝豬腳<3

02-26 00:47

沉鬱的邊緣人

02-26 00:53

SDTDDH
你加的鹽,質量很大喔!

02-26 00:54

解凍豬腳
小心你背後有&*^%!@&$*^%!@*&$^!*@&$^(@!$*02-26 01:00
永A的黃頭貓
雖然要花一些時間,我會仔細讀完畢的。

02-26 00:55

UMU
優質文

02-26 00:57

灸石嵐
好聞~長姿勢~

02-26 01:01

likwueron
雖然密碼知識這也很重要,但這次外流我以為是無法通過更強的密碼來避免。
下面是我目前了解的部份:

方向上來說,我認為是要從「登入後巴哈是怎麼知道這個客端是登入的」來看。
伺服器會在我們登入後回傳一組權杖(Token),每次動作時我們的瀏覽器都會將這份訊息以SSL加密連線傳給伺服器,所以站方才知道你的身份。
而CloudFlare是網站穩定和防護服務提供商,巴哈使用它們的服務,所以我們和巴哈之間的SSL通訊是經過他們的伺服器。
但他們的伺服器有漏洞,會把這些本應袐密的訊息暴露出來。

02-26 01:01

解凍豬腳
Token 的問題我也有在思考
若今天真的是 Token 被偷了,問題就很嚴重

個人認為基於避免負荷過量的狀況下
巴哈應該要階段性且定期地清除 Token 讓使用者重新登入
所謂的階段性可能就是把其中 10% 使用者登入資訊的 Token 清除
隔一陣子再輪到另外 10%,以此類推(因為如果一次把全部的 Token 清掉,大家要重新登入會導致伺服器那邊負荷量過高)

所以有時候巴哈帳號會突然自動被登出
也有可能是基於這個策略?這部分我也很難確定02-26 01:20
阿辣姆
是我的錯覺嗎 好像看到0A肥婆之類的東西...

02-26 01:09

見本豬哥還不跪下
我是沒差啦 巴哈填的身分都假ㄉ

02-26 01:12

美白麗鳥
在相關創作我看到我的創作了[e17]

02-26 01:25

解凍豬腳
因為巴哈姆特的標籤[e16]02-26 01:26
巴哈游魂
好專業的感覺
看得我頭昏昏@@

02-26 01:42

解凍豬腳
不要被那些數字嚇著了[e16]02-26 01:44
+9神聖騎士卡
超實用,感謝科普!

02-26 01:44

海之仇
嗯 更進一步了解加密部份了....一直以來都只是認為加密就不過把這個封包鎖起來這樣...原來是用運算法把他一串無意義的編碼...這樣要解碼起來更困難了

02-26 02:08

解凍豬腳
如果要問加密法的話,這篇文章可以解決你的疑惑唷
https://home.gamer.com.tw/creationDetail.php?sn=294947602-26 02:10
Icycool
cloudfare這次是直接看光https裏面的內容,所以你登入的時候打的密碼在post裏面就會... 無論你加多少符號. 他號稱泄露的%低純粹是因為bug的發生需要不完整的html tag, 而網路上這樣的錯誤本來就占少數。其實你加符號在密碼只是增加暴力破解的難度,比起增加符號,增加長度更能夠防止暴力破解,忘記密碼的幾率也比較低,如thequickbrownfox@baha

02-26 02:24

解凍豬腳
沒錯,增加長度最有效,畢竟是指數成長02-26 02:26
巨像x古城x大鷲の核蛋
我是用英文+數字....但是你絕對想不到為啥要這樣排.....

02-26 05:00

盡歡
長知識了 想請問一下 我都會習慣辦完帳號後在隨身碟裡建文字文件把帳密打下來存著 忘記的時候才會插上電腦來看 這樣做有風險嗎

02-26 05:21

解凍豬腳
如果你能保證你的電腦沒有木馬或其他病毒,風險基本上不大
但是隨身碟要好好保存,不要隨便借人
(就算檔案已經刪了,若剛好遇到有心人士,該檔案還是有被還原的可能)02-26 05:42
R君
優質文章,推,我也要來增加一下我密碼長度了

02-26 06:22

龍哥的徒弟
好文BC推

02-26 06:42

無星之夜
似懂非懂 總之密碼改成一大串就對了

02-26 06:53

解凍豬腳
如果要這麼做的話,前提是自己要記得住喔02-26 07:03
洨布丁
u質

02-26 08:46

ELacH
看不懂 只好開%了

02-26 09:40

Hugo
其實大部分密碼都能夠有破解的方法,問題只是這個密碼破下去要多久,能得到什麼,投資回報不成比例才會算無法破解

只要有加了salt,不出sql injection這種傻問題,別人用dictionary attack要花幾十年才能破解的話密碼就算安全了

簡單來說現在說20位亂碼破不了,需要幾千年運算,可能5年後就只需要10年,然後10年後就只需要一個月,密碼還是要和科技競賽

02-26 10:08

這杯水
GaMeR0AfApLe
0AfApLe

0aFaple

又要上車了嗎…

02-26 10:18

解凍豬腳
不准烏鴉嘴[e36]02-26 10:30
澀葉同學@提不起勁
好像有點專業...勉強看得懂而已...诶嘿☆(ゝω●)

02-26 10:22

緣流
看到一連串密碼就想回謝謝大大無私...(被毆

之前一直會想到想讓每個網站的帳密都不同,可是都會怕記不住
看了上面加密法那篇倒是可以做個參考了

02-26 10:50

雷電不閃光
感謝,我的網銀絕對要改密碼了...差太多了~~!!!!

02-26 11:04

佚名
巴哈不是用php寫?
那個看起來像html5......

02-26 11:26

解凍豬腳
你的理解可能有誤

實際上,架設網站的時候,(通常)兩者都會用到

我們能看見的網站上的東西(譬如圖片呀、文字、網站的樣子等等)都屬於「前端」,通常用 javascript 跟 HTML 做設計

至於他們要做資料庫存取、發表文章等等的代碼,統稱「後端」,通常用 php 來寫,所以基本上你是看不見他們那裏的 php 執行了什麼內容02-26 11:45
Swat-豹豹模式
密碼可以用特殊符號喔

02-26 13:00

解凍豬腳
!@#$%^&*這種02-26 13:13
茄汁貓耳朵
garena當初大概就是用最白癡的那種做法,才會上萬個帳號一起被盜

02-26 13:36

解凍豬腳
最近幾年真的要對資安這塊注重一些呀……

看 Yahoo 三年內連續出好幾次包

我就果斷把用了 12 年的信箱給擱置了[e42]02-26 13:45
水藍色
不過一般人才不會去想去理解這些這麼深的東西。覺得簡單的東西,沒在碰的人根本比天還高。
說容易一點,就是有心人不要這麼多就好了。

02-26 15:04

人宅心厚
其實連用戶名稱都要注意,曾經有個例子是有人在很多網站上用同樣的用戶名,對方用他在FB等網站上的資料交叉比對去其中一個網站申請找回密碼,然後用密碼登入看個人資料......連鎖下去整個身分都被盜。

02-26 15:30

解凍豬腳
這真的挺恐怖的[e17]02-26 21:18
Fat
記明碼的網站 首先就是PCHOME啊[e35]

02-26 15:47

解凍豬腳
你沒說我還不知道,這也太扯02-26 21:19
.50 BMG
现在才发现缩图是电脑管家,呵呵

02-26 16:56

解凍豬腳
[e16]02-26 21:19
星くず☆ナミダ
我從小學的時候就記了一組20位長度 單純由數字組成的密碼 會不會比由數字加英文組合而成 十位長度的密碼安全?

02-26 18:18

解凍豬腳
一般來說,駭客如果要測試 20 位數的密碼,因為位數太多,他們為了不要讓自己效益太低,可能就會直接從純數字開始測試,這種情況下你的 20 位密碼就要用純數字的情況來計算

【你的情況】
因為單純是數字,所以 20 位的話就是 10^20 種組合

【純小寫英數 10 位 / 純大寫英數 10 位】
數字加英文 10 位長度的話
就是 (10+26)^10,大約是 3.656 × 10^15 種組合

【大寫小寫英數 10 位】
如果同時混入大寫跟小寫的話,就是 (10+26+26)^10
大約是 8.393 × 10^17 種組合

因此,若不計駭客特別針對某方面投入的機率,單論組合數量的話,仍然是你的 20 位數字取勝,畢竟位數的增加所造成的結果是指數成長,增加指數通常比單純增加底數還要來得有效率02-26 21:32
嵪匛碓咯
我是用句子密碼,想一個"中文"句子,但是的是英打,然後把不能輸入的特殊符號扣掉就是了,比如,小玲A-->vulxu6A,缺點是鍵盤就打不出來,對...我背不出來自己的密碼-.-

02-26 18:32

守護時空
剛剛去檢查才發現巴哈已經提供兩階段驗證(之前沒有),沒設定的請去設定,可以提昇帳號安全性,話說我身邊能開兩階段驗證的各類常用帳號幾乎都開了,再搭配程式產生的亂數密碼,根本就很難被盜用。

02-26 19:00

守護時空
對自己密碼安全有要求性的,可以研究一下這兩套軟體:「Keepass:密碼生成與管理工具」、「Authy:可多裝置同步的二階段驗證工具」。

02-26 19:10

我4人類
優質文章

02-26 20:17

奴隸狐ヽ(・×・´)ゞ
U質豬腳

02-26 20:22

最喜愛蘿莉的夜月喵~
所所大大推薦大家改密碼喔?
越長越複雜就好?

02-26 20:25

解凍豬腳
最大的重點:「一定要自己記得起來」

然後,如果我們基於「密碼沒有太多規律可循」的前提

「增加密碼長度」的投資報酬率
通常會大於「增加密碼摻入文字類型」的投資報酬率

所以上面就有人問到:「10 位大小寫英數混合和 20 位純數字哪個組合較多?」
可以發現後者較多,因為增加密碼長度 = 組合數量以指數成長02-26 21:36
場外醫師佛地魔
感覺有點複雜
晚點再來看

02-26 20:34

指考戰神x兔兔騙你
U質好文 最近修密碼學導論剛碰到這個

02-26 21:04

霧島悠樹
專業推個

是說有點想問...如果以駭客的角度來看
如文章所說得加鹽等各種加密法,會有什麼是解不了的嘛?
還是說只是解的過程太過消耗時間,以致讓對方放棄 (?


02-26 21:15

解凍豬腳
「加密」這檔事
就是利用「兩方資訊不對等的情況」
以最少的時間去換取駭客最多的時間

很多駭客總是可以想到一些奇奇怪怪的解法去破解
我當初接觸 RC4 的時候也覺得「哇靠,這發明人好屌」
結果誰知道這玩意居然也能被破解,我怎麼都想不通

所以基本上,再怎麼把所有已知漏洞補起來
然後設計一堆奇怪的規則來把事情搞得更複雜
你永遠不可能說你的東西 100% 無法被破譯

但是單就講加鹽這件事情的話,的確可以大幅提升安全性
因為這個步驟可以讓後端工程師自己訂個加密法
去把密碼的 hash 加密,或是做其他「有規則的更動」
反正只要能確定使用者輸入的密碼和當初註冊的密碼是否一致就好
只要駭客不知道你 php 原始碼裡面寫的是什麼
他就幾乎不可能知道那些 hash 值被動過什麼手腳

現在就連金融圈仰賴的 RSA 加密都怕量子電腦面世了
可見並沒有真的萬能的加密法可以預防一切
頂多只能把被破譯的機率縮減到很小很小02-26 21:50
出人意表的基德
資安這東西沒有100%安全的,就算今年不能破解,可能明年就出了一種對應的演算法了

最好的辦法還是不要把貴重資料放在網路上才安全(譬如會議記錄之類的

02-26 22:29

チョコラネコ
好文必須推
能把這些專業知識講得讓沒接觸此領域的人也能懂

剛好這學期修了高等密碼學
裡面也剛好在講這些東西

至於密碼,我也是能用多長就用多長
管他是什麼符號,有就加進去
最後再掛個雙重認證

但最基本的還是使用者的資安常識要夠
只要一個疏忽,密碼被外人截錄下來
就算長度多長,也沒有用了

02-26 22:32

Pitbull 野~™
之前有看過一個不錯的方法
可以各網站密碼都不同分享一下
主密碼+該網站網域名稱
ex:87878787*google.com
87878787*gamer.com

02-26 22:39

小智
問題是大多數都不能用特殊符號當密碼

02-26 23:11

解凍豬腳
基本上我常用的都可以,因為都是大站
巴哈 - 可
Yahoo - 可
Facebook - 可
Google - 可
Hotmail - 可
Instagram - 可
Line - 可
Pixiv - 不可02-26 23:17
丟你RAM
介紹的好淺顯又詳細~
好文必須推出去讓大家知道-w-)/

02-26 23:14

小智
小妹 求認識 小弟嫩嫩xx人 拜託給個機會吧

02-27 02:24

Moka
非常感謝又學到新東西新知識,給大GP~!
以後我會記得,的第一件事情是,把20位數的新密碼黏好貼頭上,第二是提醒自己,每天都要記得帶鏡子。

02-27 02:49

解凍豬腳
給人看到就不叫密碼啦[e16]02-27 03:18
Nimelifueuous
如果密碼可以用多國文字 那基本上要破就幾乎不可能了
密碼這方面 還能用人類心理的方式去猜
大部分人的密碼 除非是最簡單的那種 其實都是有意義的
很少出現純粹無義字串讓你去猜測 除非你都用密碼本加密啦

02-27 03:25

RU== (PE↗KO↘PE↗KO↘)
很好奇,既然MD5是個函式,那有被反運算回去的可能嗎?

02-27 05:22

解凍豬腳
這個就是雜湊函式的特性
雜湊函式基本上不可能「直接」反運算
因為 X 筆不定長度的資料
經由雜湊函式運算後得到固定長度的 Y

這個 Y 是 32 位的 0~F
所以總共有 16^32 種可能(約 3.4 × 10^38 種)

而 X 卻有無限多種可能
因為不管你要輸入什麼資料、資料要多長都行

你學過函數
可以知道函數可能是「多對一」或「一對一」
而這個 MD5 就是多對一的情況
因為他從一個無限的 X 對應到有限的 Y

所以如果想要對應到 Y 裡面的其中一個元素
就等同於你要把過程反過來,從「多對一」變成「一對多」
這樣的話一定會有很多種可能,而目前公認這還沒有規則可循
因此所謂的「多」就會散落到「無限」的域當中

這種感覺就好像我們把多位數相加到剩下個位數
譬如 31 和 22 這兩個數,3+1 和 2+2 都是 4
但是你沒辦法只用 4 就知道原本是 31 還是 22
而 MD5 就是把這樣類似的過程複雜化
讓一般人沒辦法把這個運算過程反過來
你在壓縮檔裡面看到的 CRC32 也是類似的作用
只是相對於 MD5 來說,CRC32 比較簡單
因為算出來的值只有 4,294,967,296 種可能

針對強度不夠高的雜湊函式,駭客的常見做法是
想辦法設計出另外一個流程
讓他們能夠以「最大效率」產生出剛好相同雜湊值的 X
然後再利用他們找到的這個 X 去代替原本真正的 X
這個就稱為「碰撞攻擊」

最近一個禮拜內 Google 剛宣布
他們找到方式去碰撞 SHA-1 演算法
即便如此,要碰撞仍然需要達成「需要強大計算能力」的前提
所以,Google 雖然找到他們認為最快的方法
但也運算了至少 900 京(90,000 兆)次才成功碰撞

現在若需要以安全考量,會建議至少改用 SHA-256 算法
MD5: 128 bits
SHA-1: 160 bits
SHA-256: 256 bits02-27 19:22
阿書
所以現在巴哈公告更改密碼就安全沒問題?(限巴哈)

其他知名網站目前大丈夫?

不久前要登入FB時,跑出從其他IP地區要登入FB是不是本人通知!?當下就馬上改新密碼了!

請問也跟巴哈的CloudFlare事件有關聯一樣?

02-27 05:32

解凍豬腳
這次 CloudFlare 名單裡面沒有 Facebook
所以推測兩者應該無關

我的 Facebook 帳號也曾經被盜過
個人覺得有可能是因為我在不安全的地點登入的緣故

改密碼的同時,請記得也要依照以下步驟做:
右上角 > 設定 > [左區塊]帳號安全 > [右區塊]你登入的位置
點選 [結束所有活動]

這樣子可以確保駭客那邊也被登出
當然這樣的話你的手機、每一台電腦等地方都要重新登入就是了02-27 19:43
解凍豬腳
以巴哈姆特來說
只要你的密碼夠複雜、長度足夠
理論上應該是不用太擔心才對

最近巴哈姆特有出「二階段驗證」,用起來很簡單
但是安全性會提升至少一百萬倍(六位數驗證碼)
就算手機沒網路也可以使用的樣子
我昨天已經開始用了,你也可以試試看02-27 19:44
骷髏の瑪爾科
用國字輸入當密碼...
EX 這是密碼=>5k4g4au4a83

缺點是要有鍵盤...用手機打不出來啊=.=

02-27 11:03

Stone君
還好我大四沒被當,還看得懂......[e21]

02-28 20:45

雪之王女‧F‧巧可奈
算是相當實用^^

03-08 10:30

湜曄
重點:靠北難記,靠北安全。
之前用hashcat 自行測試八位純數字密碼SHA-256,暴力不用多久就出來了(好啦其實也是要一段時間w),但是如果加上幾百G的字典來查表,應該會更快,所以好的網路環境,也很重要。不然密文到了駭客手裡,簡單的密碼可能1天就能解數十萬組,難一點的只是時間問題,不過…要是駭客已經解了那麼多,基本上也足夠玩了。除非你是什麼政商名流,那可能就需要小心了,多一個字讓你多安心一個月以上((暴力窮舉哭哭
好文!推!((๑•̀ㅂ•́)و

04-08 20:29

狗才當人
0afaple

04-12 14:56

呆熊( ̄(エ) ̄)

優質好文

12-11 20:20


雖然我知道重點不是這,但原來是個女生嗎.......

03-12 21:45

Ray
如果是CF到巴哈的伺服器 這中間的東西該加密的被破解之類的呢
像是登入的過程中 這邊應該是要加密的 而被破解之類的

04-15 20:26

哈哈傻瓜
好複雜 網路好奧妙

09-28 15:29

哈哈傻瓜
想問一下為什麼很多網站不准用特殊服符號 這是為什麼 連遊戲上創角色 也不能用

09-28 15:30

解凍豬腳
一種考量是希望玩家之間的交流可以方便一些

(試想,如果有玩家的暱稱取作 II|lIl|lI|lIl||,那別的玩家想要找他的時候不就……)

至於網站,通常這是為了免於駭客的攻擊而規定,白話地說就是比較不容易被用不法方式取得資料庫內容,關於這點可以上網 Google 一下什麼叫做 SQL Injection09-28 18:45
C4H4O5(OAA)
好猛喔,給個GP

11-18 19:02

C4H4O5(OAA)
https://truth.bahamut.com.tw/s01/201811/94cd18f5419dc1981ec69b694268e253.JPG?w=300

11-18 19:03

御安鴨鴨
U質

06-22 17:38

我要留言提醒:您尚未登入,請先登入再留言

329喜歡★johnny860726 可決定是否刪除您的留言,請勿發表違反站規文字。

前一篇:新學期第一週結束啦... 後一篇:20170311 隨筆...

追蹤私訊切換新版閱覽

作品資料夾

------------------ (0)

豬腳生活 (1)
日常雜談、巴哈大小事 (170)
煞氣a國中生 (7)
高中生活日誌 (55)
大學生活日誌 (34)
冬令營回憶錄 (19)
也許藏有一些小祕密吧? (3)
各式各樣的開箱文 (10)
貓科動物時間 (11)

------------------ (0)

繪圖創作 (1)
電繪插圖、草稿 (144)
短篇漫畫、單幅標語 (61)
上課太無聊的手繪塗鴉 (8)
不知道該怎麼分類的綜合作品 (14)

文字創作 (1)
草莓兵的國軍紀實 (3)
我與らい的點點滴滴 (12)
那些榮耀的時刻與心跳加速的瞬間 (59)
有感而發的隨筆之作、無法分類的短文 (16)

------------------ (0)

語言學習 (1)
日語:天気がいいから (5)
粵語:唔好再淨係識講粗口喇 (6)
英語:Hey, you! (1)

程式設計及電腦網路 (1)
系列文:跟著豬腳 C 起來 (9)
系列文:論壇網站運作原理 (3)
Ruby / RGSS (7)
Visual Basic (13)
JavaScript (1)
各種原理 (13)

思想:多思考一下,世界會更不一樣 (1)
網路經驗、社會觀察 (20)
檸檬庫 (21)

數學:我來拯救你的期中考了 (1)
各類基礎觀念 (5)
國中生也能懂的微積分 (9)
微分方程 (0)

小說:用筆鋒劃出新世界的入口 (1)

繪圖:我也想畫出私巴拉西的美圖 (7)

------------------ (0)

施工中 (22)

不堪回首的痕跡、雜物堆放 (30)

------------------ (0)

未分類 (0)

diamond158大家
精彩刺激的穿越冒險小說『古埃及王的祝福』持續日更中,歡迎進來小屋看看^^看更多我要大聲說昨天19:17


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】