回看板
Disp BBS
看板 Soft_Job
作者 flyingIdea (飛翔的想法)
標題 [閒聊] 大家網站帳密的資安怎麼做的?
時間 Wed Jan 14 13:18:06 2015

這應該是一個從法老王時代就有在討論的話題

因為我沒有相關經驗 所以想來問問各位這個問題....

我聽到的作法大多是架HTTPS就有60分

再配合OAuth等等的技術?

只是先前我去參加一個討論

主持人問"台下公司有買HTTPS憑證

         架HTTPS給client端用的人請舉手"

竟然只有1/30 Orz

所以我想請問一下 大家網站的帳密資安部份都是怎麼處理的?

是自幹還是用有spec 的方法?

------

主要是我參加了那場討論

想知道現在有多少公司是用正規做法 還是自幹的比較多@@!!

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.67.93
※ 文章代碼(AID): #1KjVmH3U (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1421212689.A.0DE.html
robler: 公司內部為啥需要https
有連外的才需要吧1F 01/14 13:19
flyingIdea: 我指的是給client用的帳密那部份 可能我文寫的不清楚3F 01/14 13:20
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:23:04
ccpz: 遇上使用者擺爛,密碼只想用四位數字時,什麼安全都沒用4F 01/14 13:34
robler: 郵局帳戶也是四位數字密碼 怎麼沒被人盜光光?5F 01/14 13:39
knives: 推樓上,不過應該可以檢查強度吧6F 01/14 13:40
robler: 密碼複雜度只是資安裡的一小部份 只有最不負任的管理者
才會一昧的要求使用者用更複雜的密碼7F 01/14 13:41
uranusjr: 郵局四位密碼要臨櫃才能用吧, 金融卡是六位9F 01/14 13:42
robler: 真正因為密碼被暴力破解的資安事件...真的有嗎10F 01/14 13:44
hSATAC: 不太懂你的故事跟你想問什麼...11F 01/14 13:44
flyingIdea: 四位密碼還有一個原因是因為錯3次會被鎖卡吧?
網路你可以一直TRY到密碼正確為止 少部份的網站才會鎖你的帳密12F 01/14 13:47
noonOut: 你如果是想 cover 傳輸密碼的部分,就 oauth 就好15F 01/14 13:48
flyingIdea: 我想問的是關於帳密資安的部份大家是怎麼做的
包括authorization communication ....等等的動作
大家公司的做法是怎樣 是用網路上的還是自幹?
OAUTH我查了一下 好像也是建議要用HTTPS來傳?16F 01/14 13:48
※ 編輯: flyingIdea (114.39.67.93), 01/14/2015 13:57:47
TonyQ: @robler 有小道消息指出前陣子的 icloud 事件 最大嫌疑是這郵局帳戶之所以沒有被盜光,是因為 try 三次就結束。
密碼強度的確不是最重要的事,有周邊條件就可以不用太強。20F 01/14 13:56
LINGZ: 一樓對於公司內部不用https的觀念不是很好.23F 01/14 14:13

--
作者 flyingIdea 的最新發文:
點此顯示更多發文記錄