PCDVD數位科技討論區 - 聰明鎖遭破玩家慘虧9萬

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - 聰明鎖遭破玩家慘虧9萬 (https://www.pcdvd.com.tw/showthread.php?t=940280)

樓上的猜測恐怕都不對,這次真的可能是聰明鎖OTP完蛋了,或是BEANFUN有繞過OTP的方法被發現.因為玩家有說,是OTP登入後,玩到一半被強迫登出,玩家電腦沒有被搖控也沒有離開電腦.楓之谷上面所有的東西都要用現金買才會快,所以造就了一個相當龐大的消費市場,小弟一天在上面賣個幾百台幣的東西完全不是問題.

為什麼都沒人懷疑OS有問題呢？
被盜的裝的都是正版的OS？
還是網路下載(內建木馬)一鍵裝到好的那種呢？

拜託先搞清楚otp的登入方式，就算電腦有100支木马，只要使用otp的方式登入，都不可能被盗，除非otp的演算法計算基準都被駭客找出來了。

我也覺得OTP應該是很安全的防盜方式，木馬又不是裝在OTP上面，再加上密碼的有效期只有幾秒鐘到幾分鐘，怎可能抓得到OTP產生的密碼進而登入遊戲盜取寶物。

遊戲橘子宣傳防盜時，會提醒玩家不在電腦前就最好把遊戲和BEANFUN登出，因為此時唯一的漏洞就是遠端遙控。
OTP防不到這一部分。這漏洞可不是別人找的，是橘子自己說的。

新聞報導說玩家玩到一半被強制登出，但其實沒說清楚他是不是玩到一半離開座位，桌面被遙控是有可能的，根本不
用破OTP就能盜寶。

　

黑暗世界裡面，是工讀生把未加密的帳號密碼檔與每個帳號內容直接流出，讓高手依照所需取得相關的東西........

呃，以上都是我在做夢時，因為夢境太長，偶爾「LAG、斷線、不掉寶」的世界裡面所夢到的，現實世界是否這樣請去問寶傑，我不知道 :laugh:

引用:

作者a843433

工讀生頂多只能取得帳號，密碼是沒有辦法取得的
除非他是管server的工讀生~~~ :D

引用:

作者菊草葉

先不談橘子的管理有多爛，倒是PCDVD大家應該對OTP動態安全密碼鎖比較有興趣。照理說，OTP也是各大金融機構
正在使用的防盜機制，安全性是比其他防盜機制高一些。

在橘子玩遊戲被盜帳號，個人猜想有幾種理由：

1. 客戶端被植入遠端遙控程式。被害人在家中登入遊戲後，離開座位去做其他事，以為安全無虞，但是人不在電腦前，
整個桌面包括遊戲畫面都被遙控，裝備寶物也能被轉移。轉移完後再迅速登出，被害人回座位發現被盜，當然直覺認為
OTP鎖有問題。

2. 橘子採用大一統登入介面（叫做樂豆），先登入樂豆，再透過樂豆登入其他遊戲。問題出在樂豆有登入後持續有效的
時間，從２０分鐘到永遠不登出都可以自己設定。橘子會提醒玩家登入樂豆啟動遊戲後，要記得登出樂豆，但應該很多
玩家嫌煩會把閒置時間設定得比較長。問題也是同樣出在登入後離座，讓遠端登入程式得以趁虛而入。

3. 最嚴重的是...

被盜過的來說這個最清楚，很多被盜的是跟盜帳號者直接玩踢踢樂，人就在電腦前面被強制登出搶不回來，GASH跟遊戲密碼同時被改掉，完全沒救
所以第一個可能性不存在
比較可能的就是橘子的防護機制被繞過去破解了，甚至有是樓上的夢境成真

另外，OTP確實也可能存在漏洞
我一個朋友，他公司的VPN就是用OTP登入，根據他的經驗
每天大概幾點登入時，OTP顯示的數字大概就差不多那幾個號碼
我就親眼看過，他還沒按新密碼前就先跟我預告是幾號...還真的命中
:jolin:

引用:

作者woeimin

工讀生頂多只能取得帳號，密碼是沒有辦法取得的
除非他是管server的工讀生~~~ :D

這類的密碼不是都經過加密儲存
所以即使是六星上將，也無法查出你pcdvd帳號的密碼
不是這樣嗎？ :confused: :confused: :confused:

引用:

作者calor

這類的密碼不是都經過加密儲存
所以即使是六星上將，也無法查出你pcdvd帳號的密碼
不是這樣嗎？ :confused: :confused: :confused:

在寫入資料庫前沒有特別處理過，密碼是不會自動以加密方式儲存的。