 | 1 BinbinWang Nov 1, 2014 via iPhone 两步验证程序丢失 连dropbox都登陆不上了 |
 | 2 robbielj OP @BinbinWang 可以用recovery code的,这点几乎所有提供两步验证的服务都一样。把它们存一份。 |
 | 3 coldwinds Nov 1, 2014 用email进行2步验证比较适合 |
 | 4 DoubleJo Nov 1, 2014 SMS能不用就不用吧,最好是硬件OTP。 |
 | 5 dong3580 Nov 1, 2014 via Android 国内的不开通没有吧 |
 | 6 cxd44 Nov 1, 2014 最近gd丢失域名那么多,没二步验证的商家还真不敢用了。 |
 | 7 SharkIng Nov 1, 2014 唉,这么说来都会有风险的 |
 | 8 hjc4869 Nov 1, 2014 AFAIK,MS账号修改密码需要两种二步验证信息,必须是邮箱+短信或者邮箱*2之类的。 |
 | 9 egen Nov 1, 2014 2步验证用 google authenticator 比较安全 |
 | 10 47jm9ozp Nov 1, 2014 两步验证不应该是密码+验证器么,直接通过验证器(手机号)修改密码是什么鬼……这也太不靠谱了…… |
 | 11 9hills Nov 1, 2014 标准的两步验证需要两个,一个是TOKEN一个是PASSWORD。所以它的安全性最少不会比PASSWORD更差。。。 |
 | 12 kmvan Nov 1, 2014 客服MM被攻略了吗?求详情 |
 | 13 Aquamarine Nov 1, 2014 所以短信还是身份验证器保险 |
 | 14 PP Nov 1, 2014 via iPad 标题逻辑错误,此例无法论证两步验证更不安全。攻击过程针对的是服务器端,直接或变相绕过了两步验证。 |
 | 15 crab Nov 1, 2014 这是手机运营商问题。除了2步验证外,其他和手机有关的,一样会被攻破。 |
 | 16 wzxjohn Nov 1, 2014 via iPhone @crab 同意,大前提错误。就像我说的如果你能接触到手机本身或者像本例这样变相接触到手机本身,那么任何方法都没有安全可说。所以楼主的案例无法得出两步验证更不安全,只能说这种情况两步验证一样挡不住。 |
 | 17 sandideas Nov 1, 2014 via Android 但是目前来说运营商可信度还是比较高的,而且就算找到漏洞也不会弄你的谷歌或者域名。要弄也网银支付宝之类的吧 |
 | 18 a154312237 Nov 1, 2014 验证器 或者像apple那样的 通过设备同意 应该还行吧 |
 | 19 fanzheng Nov 1, 2014 via iPhone 两步验证app用的authy |
 | 20 momou Nov 1, 2014 看来源,谷歌内部已经知道这事儿,应该很快会有解决办法吧。。。 |
| 21 robbielj OP @PP 不,我标题的意思并不是在论证2FA更不安全,只是说一个例子,一件事情,而且我也说了,这是特例。 甭管是怎么绕过的,2FA在这里还是增加了可攻击的手段。如果他压根没有设置2FA,那么这情况八成不会发生(他提到都是用随机的长密码)。 |
 | 24 Delbert Nov 1, 2014 @BinbinWang 我今年密码忘记,邮箱用的是自己已经扔掉的一个邮箱,最后发信到dropbox找回了密码,然后又重置了邮箱。 |
 | 26 benjiam Nov 1, 2014 via Android 社工了运营商,有这个前提的话,你社工了银行,银行系统也不安全 |
 | 27 Blackmailbox Nov 1, 2014 用身份验证器!打印备用码! 用dropbox一定要把16位紧急验证码写下来!dropbox政策严格,就算你能改密码、验证邮箱,就算你证明了你是这个账号的拥有者,没有这个16位码 就是不让你登陆。血的教训啊! |
Select Language