謝謝，我們繼續加油

@imguoting 對不少人來說，他們也會忘記他們當初設定的邏輯。（尤其是年紀比較大的，而一些網站他們每年只登入一次 不管是a用@，1用i、l或！，輸入時又增加難度，錯誤幾次就被鎖。 我以前在新加坡某中學工作時，一些老老師會寫在筆記本上，還有一些直接寫在post it貼在筆電。

@imguoting 有個原則是所有的雜湊都只是延緩最終被碰撞回明文的手段，也就是說你要有密碼終有一天會被逆向回明文的理解 在這個前提下有規則可以推演的密碼制定策略是不安全的，因為只要目標有足夠多組服務的密碼被釋出，就有可能被歸納出來的邏輯推測出目標剩餘的密碼 這也是為什麼服務商除了不儲存明文密碼之外，連雜湊值都不應該保留，也不應該要求定期更改密碼 因為使用者的隨機性是有限的，經常更改密碼會快速地消耗使用者的隨機性，產生明顯的密碼習慣和規則 服務商如果保留了一個使用者長期多次的密碼歷史雜湊值，在這些雜湊值最終被逆向回明文的那天起，這位使用者的密碼習慣和邏輯就會受到威脅 這比單純外洩一個密碼更嚴重，是一個人完整的密碼邏輯都被洩漏 所以近期的資訊安全共識就是：讓使用者自行決定密碼這件事本身具有高度風險。 應該用一切可能的手段，例如密碼管理服務由機器完全隨機的產生密碼或者像這期影片提到的一樣完全避免使用者自行決定的密碼。

這也不完全對，目前TLS在做handshake的時候很多時候是透過Diffie-Hellman反而不是公私鑰，這主要為了forward secrecy。公私鑰在這個情況下應該只會被用作數位簽章

笑死，我之前還看過帳密驗證寫在前端

看到這段我也笑了

有的網站的忘記密碼功能，直接寄信告訴你密碼是什麼XD

真的...

主流教科書都是寫Alice跟Bob，當然就沿用囉~

本來想換成更在地一點的稱呼，但...

不用alice bob全身不對勁XDD

資安教科書都是用這兩位

錯誤示範

其實也不一定，現在很多惡意的APP擁有超高權限，光是可以讀取你手機通知訊息，就可以輕易拿到傳到你信箱、簡訊的otp密碼了

如果有時間弄的話QQ 我也是覺得密碼自己存最安心

自架，到底有多少人能做到

生物驗證的一大弱點是你沒有辦法去更改 萬一生物驗證的algorithm或者是data被盜取破解了，你沒辦法換另一個指紋或者faceid或者瞳孔😅

要指紋或掃臉阿..只有手機也沒用

想起以前流行的用采取指纹来验证的方法…… 手机表面必然拥有主人的指纹所以…… 如果还要“理论定位”+提问+“立体扫脸”也许能提防？ 我希望有『批准者、申请者、使用者』记录。 如大马手机号码要登记，但柜台服务员人可能偷备份…… 某些部门申请没有安程序标准，会被盗用者滥用身份……

@@dog840810 只要想想把公鑰貼在臉上, 手指是公鑰印章. 然後你整天曬公鑰臉或隨處按公鑰印章~

可以用PIN

用蘋果😏

這告訴我們，可以用最自豪的那支當其中一個指紋XD (joke)

XD

只有你的手機握有私鑰，所以並不會公司取得私鑰問題，假如有表示該公司並非使用標準規則

這告訴我們，要用最自豪的的那一支當其中一個多指紋驗證XD

帳戶「本身」的安全有別種技術來保護，設計這個的並不是傻子

@@xlion passkey 設計是很好，至於備份private key 在服務器並不在設計初衷。希望如你所說風險已經考慮下去

我看到這也是覺得問題很大

不管是軟體還是硬體商都很努力鼓勵大家換手機

好特殊

這告訴我們，要增加特別的那一支當其中一個指紋XD

還有這漏洞！

這是一個提升密碼複雜度的做法

保重... Google 才有幹過儲存信用卡卡號在帳號內，同步到 Chrome 時卻不是安全方式儲存，導致在使用者電腦上被惡意讀取的狀況

@@bingluenzhuang 連你都知道的事情 你以為全世界前幾大的公司，會保留到這個漏洞多久?

未來會讓其他密碼管理器來接管Passkeys的資料庫 不用擔心

如果你明白個體意識是什麼，根本不用太在意這些所謂＂獨佔＂，它們本質只是＂象徵＂，而你是活著的。

你會重置手機吧？

很多人不重置就賣就是個人問題😌

理論上, 轉賣後其他人應該無法登入, 只能重置手機.

XD

二步驟不開 被盜正常

因為還有物理距離限制，加上加密，所以不是不可能，但是很不容易，如果不是資料特別有價值，對駭客沒有吸引力

所以就會出現A信箱需要你進B信箱驗證，當你開B信箱要驗證的時候，發現B信箱要進A信箱點開驗證...:3....

還有我記得以前上課的時候聽說過生物認證類的密碼Entropy並不高，如果有人拿到你的裝置嘗試暴力破解的話，說不定比現在使用密碼的方式還簡單

蠻不一樣的，私鑰的位元會多很多，而且會檢查網站

你沒看懂吧,RSA私鑰只會在手機端, 只要把公鑰傳給伺服器而已, 當要授權時, 伺服器傳給你一個資訊到手機端, 手機端用私鑰匙加簽章後, 回傳 伺服器用公鑰認證簽章, 你要想的是私鑰丟了怎麼辦.

@@h.y-chen 我覺得你也沒看完XDD 為了普及和裝置遺失救援問題， RSA 私鑰必定會再同步到系統商(Apple / Google/微軟)的伺服器。 系統商如何保存這些各服務私鑰、救援流程是否能夠落實身分驗證，會變成整個驗證機制裡面最弱的部分。 大部分攻擊手法幾乎都從救援流程下手。

@@bingluenzhuang 都做這行超過10年了.. 私鑰當然是放在手機的安全儲存區，不管是不是硬體的，你不同意的話怎麼會同步到系統商去，另外同步時應該也會使用點對點加密的方式傳送(例如SSL交換KEY流程)而不是直接把KEY傳到伺服器上去，這些應該都是基本中的基本，救援流程是另一回事，我在其他留言就有提到了，("找回密碼攻擊"一樣有效，手機丟了存在硬體儲存區的私鑰當然也丟了，如果服務方還是提供其他找回密碼的方式(例如寄email重設)，那其實沒有提升任何安全性，除非像加密貨幣冷錢包一樣，丟了就什麼都沒了，除非你當初有抄下復原碼而且沒丟，但這門檻對現代人來說比天還高。)

私鑰一但上傳雲端，就失去意義了

可以選擇不上傳，只把私鑰保存在自己信任的裝置上，但就要承擔丟失或損壞的風險。

沒有那麼簡單，還有其他關卡

對大規模盜個資型的駭客應該不划算

真的很常遇到

如果要大規模犯案比較難

去買彩券((X

有的東西叫PIN

眼睛沒事可以用虹膜辨識

糟糕，想試試看

@@PanScitw 還好你看懂我說的

其實也不會，因為沒有私鑰

你這個問題已經不是公鑰/私鑰問題 傳統密碼被盗和私鑰被盗的後果是一樣的 你的問題已經升級到你相信不相信銀行系統的安保問題，並不是非對稱密碼學的問題

密碼打太多次會鎖 生物失敗太多次會回退密碼

這麼極端 就好比說你家的門鎖就算上了一百萬道也不安全 任何一個國家機器都能使用各種方法把你家給徵收一樣 說穿上述手段最終目的只是要減少被盜用的風險使入侵成本變高罷了 讓駭客小偷不會對你家有興趣

都已經眼球被挖手指被砍了還需要擔心帳號被盜嗎？先擔心自己的性命吧

Google已經宣布要在Android推出，具體時程還不知道

@@PanScitw 感謝回覆，期待

PIN是替代的

試試用同一個手指建兩次指紋可以增加一些容錯率

目前的非對稱加密對於傳統電腦來說在算法上辦不到. 如果有正常運作, 一定比傳統密碼更安全.

是指有人拿著球棒在旁邊那種暴力嗎？

是的，本期腳本就是由好駭客協助撰寫的

全部嗎？

那就可以用目前的密碼登入方式，試著提升複雜度

並沒有

希望不要太快啊

可見這問題得解決

繼續在便利跟安全性中尋找平衡

我們會盡量避免，這次是因為 OTP 常常在新聞中出現，所以就用在標題，意思就是後面的一次性密碼

@@PanScitw 希望政府立法 科技縮寫要有中文翻譯

@@徐振誠-x1r 即便有中文翻譯 大家也不一定會用 因為大部分人已經習慣英文說法 你講中文其實沒幾個聽得懂