引用:
|
作者菊草葉
先不談橘子的管理有多爛,倒是PCDVD大家應該對OTP動態安全密碼鎖比較有興趣。照理說,OTP也是各大金融機構
正在使用的防盜機制,安全性是比其他防盜機制高一些。
在橘子玩遊戲被盜帳號,個人猜想有幾種理由:
1. 客戶端被植入遠端遙控程式。被害人在家中登入遊戲後,離開座位去做其他事,以為安全無虞,但是人不在電腦前,
整個桌面包括遊戲畫面都被遙控,裝備寶物也能被轉移。轉移完後再迅速登出,被害人回座位發現被盜,當然直覺認為
OTP鎖有問題。
2. 橘子採用大一統登入介面(叫做樂豆),先登入樂豆,再透過樂豆登入其他遊戲。問題出在樂豆有登入後持續有效的
時間,從20分鐘到永遠不登出都可以自己設定。橘子會提醒玩家登入樂豆啟動遊戲後,要記得登出樂豆,但應該很多
玩家嫌煩會把閒置時間設定得比較長。問題也是同樣出在登入後離座,讓遠端登入程式得以趁虛而入。
3. 最嚴重的是...
|
被盜過的來說這個最清楚,很多被盜的是跟盜帳號者直接玩踢踢樂,人就在電腦前面被強制登出搶不回來,GASH跟遊戲密碼同時被改掉,完全沒救
所以第一個可能性不存在
比較可能的就是橘子的防護機制被繞過去破解了,甚至有是樓上的夢境成真
另外,OTP確實也可能存在漏洞
我一個朋友,他公司的VPN就是用OTP登入,根據他的經驗
每天大概幾點登入時,OTP顯示的數字大概就差不多那幾個號碼
我就親眼看過,他還沒按新密碼前就先跟我預告是幾號...還真的命中
