謝謝，我們繼續加油

@imguoting 對不少人來說，他們也會忘記他們當初設定的邏輯。（尤其是年紀比較大的，而一些網站他們每年只登入一次 不管是a用@，1用i、l或！，輸入時又增加難度，錯誤幾次就被鎖。 我以前在新加坡某中學工作時，一些老老師會寫在筆記本上，還有一些直接寫在post it貼在筆電。

@imguoting 有個原則是所有的雜湊都只是延緩最終被碰撞回明文的手段，也就是說你要有密碼終有一天會被逆向回明文的理解 在這個前提下有規則可以推演的密碼制定策略是不安全的，因為只要目標有足夠多組服務的密碼被釋出，就有可能被歸納出來的邏輯推測出目標剩餘的密碼 這也是為什麼服務商除了不儲存明文密碼之外，連雜湊值都不應該保留，也不應該要求定期更改密碼 因為使用者的隨機性是有限的，經常更改密碼會快速地消耗使用者的隨機性，產生明顯的密碼習慣和規則 服務商如果保留了一個使用者長期多次的密碼歷史雜湊值，在這些雜湊值最終被逆向回明文的那天起，這位使用者的密碼習慣和邏輯就會受到威脅 這比單純外洩一個密碼更嚴重，是一個人完整的密碼邏輯都被洩漏 所以近期的資訊安全共識就是：讓使用者自行決定密碼這件事本身具有高度風險。 應該用一切可能的手段，例如密碼管理服務由機器完全隨機的產生密碼或者像這期影片提到的一樣完全避免使用者自行決定的密碼。

這倒是

這也不完全對，目前TLS在做handshake的時候很多時候是透過Diffie-Hellman反而不是公私鑰，這主要為了forward secrecy。公私鑰在這個情況下應該只會被用作數位簽章

同意

而且還要連藍芽，這東西本身就有很大問題

你可以改用PIN 然後現在的實體安全其實都做的很不錯 真的擔心請買iPhone, Google Pixel或Samsung

提到iPhone，只能希望過去iCloud女星私密照外洩事件不再發生...

其實你可以研究看看FIDO標準，早在2016年就在台灣推廣了。

@@xlion 現在的實體裝置皆不安全，因為不是專門用於MFA的。

你應該有些誤解啦 還是會有傳輸給伺服器驗證的流程 只是把保護鑰匙的方式 從人腦換成相對更可靠的硬體安全晶片

笑死，我之前還看過帳密驗證寫在前端

看到這段我也笑了

有的網站的忘記密碼功能，直接寄信告訴你密碼是什麼XD

生物驗證的一大弱點是你沒有辦法去更改 萬一生物驗證的algorithm或者是data被盜取破解了，你沒辦法換另一個指紋或者faceid或者瞳孔😅

如果有時間弄的話QQ 我也是覺得密碼自己存最安心

自架，到底有多少人能做到

真的...

主流教科書都是寫Alice跟Bob，當然就沿用囉~

本來想換成更在地一點的稱呼，但...

不用alice bob全身不對勁XDD

資安教科書都是用這兩位

PIN可以取代生物辨識啊

@@xlion PIN也算是密碼的一種吧

錯誤示範

賀

要指紋或掃臉阿..只有手機也沒用

想起以前流行的用采取指纹来验证的方法…… 手机表面必然拥有主人的指纹所以…… 如果还要“理论定位”+提问+“立体扫脸”也许能提防？ 我希望有『批准者、申请者、使用者』记录。 如大马手机号码要登记，但柜台服务员人可能偷备份…… 某些部门申请没有安程序标准，会被盗用者滥用身份……

@@dog840810 只要想想把公鑰貼在臉上, 手指是公鑰印章. 然後你整天曬公鑰臉或隨處按公鑰印章~

其實也不一定，現在很多惡意的APP擁有超高權限，光是可以讀取你手機通知訊息，就可以輕易拿到傳到你信箱、簡訊的otp密碼了

可以用PIN

用蘋果😏

這告訴我們，可以用最自豪的那支當其中一個指紋XD (joke)

只有你的手機握有私鑰，所以並不會公司取得私鑰問題，假如有表示該公司並非使用標準規則

這告訴我們，要用最自豪的的那一支當其中一個多指紋驗證XD

XD

更甚至握有個資的私人企業或政府部門毫不在意資安，任由個資外洩 iRent個資外洩就是超級誇張的例子

至少可以確定三大巨頭的資安是可信的 如果三大巨頭被攻擊成功，那是世界等級的資訊犯罪，足以稱作黑天鵝事件了

@@henrylin4667 律師函警告⚠️

不過像 Google 這種伺服器安全強度就很適合用生物驗證，反正我是沒聽過有人駭進去他的伺服器，都是用釣魚、遠端或 cookies 駭 client 端，生物驗證+裝置連藍芽掃 QRcode 至少能擋掉釣魚和遠端

帳戶「本身」的安全有別種技術來保護，設計這個的並不是傻子

@@xlion passkey 設計是很好，至於備份private key 在服務器並不在設計初衷。希望如你所說風險已經考慮下去

這就是技術進步的動力

目前駭客的突破口都不是在加密上. 所以能夠減少突破口的OTP 就相當於加強防禦了.

我看到這也是覺得問題很大

好特殊

不管是軟體還是硬體商都很努力鼓勵大家換手機

找回遺失的裝置之後仍然要由本人來透過passkeys進行登入，就算駭客擁有手機和帳號密碼仍然無法通過passkeys登入，因為帳號密碼的功能並不是用來登入網站或應用程式，只是單純的恢復passkeys的使用。我剛剛也在思考這個問題，我的理解不知道對不對但給你參考看看

不過駭客要取得登入狀態確實可以直接繞過登入這個步驟，登入狀態只能透過登入這個動作來取得算是一個普遍的誤解，因此資料仍然無法保證完全的安全😢

@@yyyqq__ 這次的影片提到裝置遺失後用帳密重新"登入"， 可以設定的只有"停用舊裝置"與"啟用新裝置"， 也就是說依然需要保留帳密，帳密依然有被盜用的價值， 這並沒有達到所謂的"無帳密"，所以不擁有無帳密帶來的安全， 你還是要費神去記帳密，而風險依舊存在。

有個東西叫實體金鑰 可以用來保護你的Google 跟蘋果帳號

​ @YQ L 錯，手機丟了存在硬體儲存區的私鑰當然也丟了，如果服務方還是提供其他找回密碼的方式(例如寄email重設)，那其實沒有提升任何安全性，除非像加密貨幣冷錢包一樣，丟了就什麼都沒了，除非你當初有抄下復原碼而且沒丟，但這門檻對現代人來說比天還高。

你會重置手機吧？

很多人不重置就賣就是個人問題😌

理論上, 轉賣後其他人應該無法登入, 只能重置手機.

因為還有物理距離限制，加上加密，所以不是不可能，但是很不容易，如果不是資料特別有價值，對駭客沒有吸引力

這就不是駭客啦

還有我記得以前上課的時候聽說過生物認證類的密碼Entropy並不高，如果有人拿到你的裝置嘗試暴力破解的話，說不定比現在使用密碼的方式還簡單

蠻不一樣的，私鑰的位元會多很多，而且會檢查網站

所以就會出現A信箱需要你進B信箱驗證，當你開B信箱要驗證的時候，發現B信箱要進A信箱點開驗證...:3....

我想應該是指本人即是鑰匙，而不必傳遞鑰匙的概念吧？

@@斌小無 是啊 但是審核的能力是放在大公司手裡的 ，假如有需要不經別人同意就登入的話，那些公司是有能力做到的，只是法律上不允許，就跟一開始的帳號密碼的狀況是一樣的，只是現在除了源頭的公司跟你之外，其他的人就更難偷登入你帳號

未來會讓其他密碼管理器來接管Passkeys的資料庫 不用擔心

如果你明白個體意識是什麼，根本不用太在意這些所謂＂獨佔＂，它們本質只是＂象徵＂，而你是活著的。

糟糕，想試試看

@@PanScitw 還好你看懂我說的

如果要大規模犯案比較難

還有這漏洞！

你沒看懂吧,RSA私鑰只會在手機端, 只要把公鑰傳給伺服器而已, 當要授權時, 伺服器傳給你一個資訊到手機端, 手機端用私鑰匙加簽章後, 回傳 伺服器用公鑰認證簽章, 你要想的是私鑰丟了怎麼辦.

@@h.y-chen 我覺得你也沒看完XDD 為了普及和裝置遺失救援問題， RSA 私鑰必定會再同步到系統商(Apple / Google/微軟)的伺服器。 系統商如何保存這些各服務私鑰、救援流程是否能夠落實身分驗證，會變成整個驗證機制裡面最弱的部分。 大部分攻擊手法幾乎都從救援流程下手。

@@bingluenzhuang 都做這行超過10年了.. 私鑰當然是放在手機的安全儲存區，不管是不是硬體的，你不同意的話怎麼會同步到系統商去，另外同步時應該也會使用點對點加密的方式傳送(例如SSL交換KEY流程)而不是直接把KEY傳到伺服器上去，這些應該都是基本中的基本，救援流程是另一回事，我在其他留言就有提到了，("找回密碼攻擊"一樣有效，手機丟了存在硬體儲存區的私鑰當然也丟了，如果服務方還是提供其他找回密碼的方式(例如寄email重設)，那其實沒有提升任何安全性，除非像加密貨幣冷錢包一樣，丟了就什麼都沒了，除非你當初有抄下復原碼而且沒丟，但這門檻對現代人來說比天還高。)

私鑰一但上傳雲端，就失去意義了

可以選擇不上傳，只把私鑰保存在自己信任的裝置上，但就要承擔丟失或損壞的風險。

二步驟不開 被盜正常

現在已經不推薦使用session cookie了， 可以理解一下JWT