看板 StupidClown作者 earltyro (伯茶)標題 [大哭] 番號密碼時間 Sat Jul 25 13:27:35 2020
公司電腦的密碼
需要最少8個字母 大小寫數字符號
而且 使用公司電腦時
在其他網站的登入EMAIL 或 網頁其他任何位置
輸入了公司那組密碼
就會被警告 而且 需要換新的密碼
前陣子 平常我在用的10組 都已經被用了一輪了
就換上史上最經典AV番號 [NYKD-054] 作為密碼
想說 這應該不可能 會有任何地方錯誤輸入了吧
結果前幾天
朋友在FB問:你上次說那個很詭異的AV是什麼
我回:NYKD-054
突然頓悟 欸 不對 那是我的密碼
30秒之後 跳出來IT警告EMAIL:
您在某網頁輸入了公司密碼 請於7天內更改
我還能用什麼密碼啊啊啊啊啊!
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 58.96.221.212 (新加坡)
※ 文章代碼(AID): #1V6yB9yq (StupidClown)
※ 文章網址: https://www.ptt.cc/bbs/StupidClown/M.1595654857.A.F34.html
※ 編輯: earltyro (119.56.109.149 新加坡), 07/25/2020 13:29:31
推 whocare96: 公司密碼我們都只換第一碼,1到0跑一輪就10組了1F 07/25 13:33
→ Emeow: 改0553F 07/25 14:23
推 breakblue: NYKD那一系列再去找一部你看不下去的就好了6F 07/25 16:37
推 nextbit: 今天日期JULY258F 07/25 19:39
推 guanhao: 所以你同事上班用公司電腦搜尋NYKD54???9F 07/25 19:40
推 MengXian: 別用番號好了,改換神的語言如何?11F 07/25 20:20
推 pidmr: 銀行英文縮寫+銀行卡號 A對應B B對應C C對應A12F 07/25 20:21
推 thewtf: ssni_05214F 07/25 21:11
推 haleytll: 所以信用卡號安全碼、私人密碼、輸入的文字全都被「分析」了,至於有沒有在server上保留history就…16F 07/25 23:37
噓 fphaha: 所以公司監控你鍵盤打什麼,公司密碼明文儲存…?18F 07/25 23:44
公司只能監控我在瀏覽器上打了什麼
如果在電腦裝STEAM 倒沒問題
→ fphaha: 按到噓晚點推回來
補推19F 07/25 23:44
哈哈哈 好誠實的F大
推 hoo114: 改用注音密碼呢21F 07/25 23:59
推 SHOOTA: 你們公司的偵測太可怕了,完全監視耶22F 07/26 00:19
推 WildfootW: 推 18 樓.. 這樣聽起來資安風險更嚴重 到底為什麼要改密碼23F 07/26 00:49
推 fcz973: 我們要16碼,含數字符號及兩個以上英文25F 07/26 00:58
16的話 聽說都寫歌詞
反正公司電腦 是說他也沒有叫我用來登入FB啦
推 wtfconk: 公司系統居然可以偵測你們自己設定的密碼…有夠毛而且就表示這些字串是明碼儲存在伺服器端才能比對…誇張29F 07/26 05:22
推 emilybaby: 公司資安軟體那一套啊?也太強大!使用skype會頓點嗎?35F 07/26 09:51
這我就不知道了
※ 編輯: earltyro (58.96.221.212 新加坡), 07/26/2020 10:12:43
推 rainwen: 不見得是比明碼,也可能是比加密後的碼,最近chrome也有新功能,會把使用者密碼丟到網路上去比對,看有沒有洩漏風險。
話說番號很多,再記一組就好,對AV大神來說應該永不缺密碼XDD38F 07/26 11:22
→ timerptt: 不大可能是比加密後的吧,這樣超耗計算資源44F 07/26 11:53
推 likeyousmile: 現代cpu都有專門算加密的指令集,耗資源非常少。除非你用非正規的加密
擔心自己密碼是明碼還是hash吧45F 07/26 12:03
→ timerptt: 除非有記錄設定的密碼長度,不然一串句子要算超多次欸48F 07/26 12:08
→ KKyosuke: 以公司的立場在公用電腦上為啥要在意你的個人資安..51F 07/26 12:42
推 festa: 把符合公司密碼規則的字串撈出來應該不多啦
chrome是比對網路上外洩的帳密吧
反而瀏覽器儲存密碼應該都是明碼再另外加密52F 07/26 12:54
推 MuteSun: 個人推CSCT-00255F 07/26 13:38
推 hhwyy: 這個推文應該在聰明版吧哈哈哈 我完全看不懂57F 07/26 14:29
推 seanqqq: 我都換最後一碼,0到9用完一輪就30個月了58F 07/26 15:11
推 b0920075: 這樣每打幾個字就會傳送到伺服器運算比對?感覺消耗量不小阿59F 07/26 15:24
推 kirbycopy: 不懂資安 但實務上一堆人因為常換密碼而把密碼用個記事本放桌面或是貼個便條紙在螢幕上 更容易被有心人士拿去用62F 07/26 20:00
推 hms5232: 雜湊和加密不一樣...66F 07/26 22:31
推 ym951305: 我都拿以前儲值點數的卡片密碼來用 又長又難記 還好很難搞丟(x68F 07/27 05:05
推 yongguo: 推樓上..XD用公司電腦維護自己資安好像誤會了什麼71F 07/27 05:43
推 x753951: 比對加密後資料檢查密碼是否外洩??問題在於如果密碼沒有特別定義長度,那系統怎麼知道要取多少字串做加密??如果要先比對字串在做加密計算,比對的過程不就是明碼的方式記錄了??還是我誤會了什麼??72F 07/27 05:46
→ da21510: 按送出的時候才會比對吧
難道有登入頁面是不用按確定就告訴你對不對的嗎76F 07/27 07:03
推 festa: 不會告訴你不對,但是會告訴你不符合密碼規則78F 07/27 07:12
推 cjy0321: 我們公司要求要數字英文間隔 結果大家都是a1a1a179F 07/27 09:05
推 jyunwei: 所以你公司明碼保有你的密碼並且監控你鍵盤所有的鍵入喔?這麼嚴格的監控卻可以上FB私訊
計算Hash那他在FB所有發言的長短排列組合都要Hash一次比對?
看內文如果原po就只輸入密碼然後發request有可能80F 07/27 11:54
推 Litfal: https怎麼攔截?特定瀏覽器還是全域key hook啊85F 07/27 12:33
推 festa: 先檢查密碼規則吧,有符合密碼規則的才hash吧86F 07/27 13:04
推 ervsj: 這個資安控管滿仔細的XD87F 07/27 13:05
推 yangway: 我的借妳用吧 JI3cl3rmp4rmp488F 07/27 13:59
→ gogohell2003: 能監控鍵盤輸入就代表有心人可以看到你輸入的每一字可以增加不少茶餘飯後的聊天話題
當然啦 同一把刀拿在google或衛士360手上是不一樣的89F 07/27 14:03
→ taoqi: 太鬧了吧XD92F 07/27 14:53
推 lwrwang: 一定是鍵盤偵測程式,
重點是你的公司密碼還能以明碼的方式在程式中比對,這比較危險吧93F 07/27 14:56
推 Litfal: hash沒辦法用sliding window做優化,否則會被反推,不適合做密碼雜湊用。時間複雜度是O(n),n等於輸入字數,每次跑一次hash,運算量其實不小。明碼比對也是O(n),但每次只需要比對一個字元,非常快。96F 07/27 15:07
推 Jekk: 這公司資安超糟糕的吧 任何人只要收到信不就代表公司有這組密碼了?100F 07/27 15:12
--