二阶段验证就无敌吗?其实也没有
我Goolge有二阶段验证啊
我去年Google被盗刷13万多,各位猜猜是怎么办到的
当时我只用了Google自己的远端程式(其他家的都没有)
然后我被远端安装了天堂W(不清楚他怎么远端的),因为电脑浏览器的关系他一路关掉
我的二阶段+通知+改密码,然后半夜四点多开开心心的盗刷,然后我收不到消息
虽然最后我没付到这笔钱,但那个流程跑了两个多星期
最后我的Goolge商店的付款功能被ban了,但却能付款yt premium(笑)
我最后被刷了约70笔,然后google退款单要一笔一笔填,所以我填了快70次,然后一度因为
一次太多笔还不让我填单
其实我事后只干银行而已
刷70笔没通知,还刷破我的金额上限,我默认15万,4万是我本身那个月的,理论上被刷11
万就算了,结果刷到13万多去,银行还跟我说你设定的是软上限,但他们会给你另一个上限
,这个是我们服务好
※ 引述《Watame (角巻わため)》之铭言
: 现在Steam、PS等等各大游戏平台几乎都有两段式验证了
: 就是除了帐号密码登入外,还会要求要有第二步骤的验证方式(Email、验证器等等)
: 刚才看到有人说‘你没设定两段式验证,被盗帐号活该’
: 我在想,帐号安全不是应该是平台方的责任吗?
: 固然两段式验证能减少帐号被盗的风险
: 但是平台会被搞到盗帐号,如果不是使用者自己外泄
: 那就是平台要负起百分百的责任吧?
: 怎么会是使用者没用两段式验证就是活该?
作者:
spfy (spfy)
2024-05-05 21:03:00你的2FA是哪些验证方式 验证器的话应该要关也要输入验证码
作者:
spfy (spfy)
2024-05-05 21:04:00现在宣导MFA但没有说无敌 例如EMAIL很容易变成最容易被破的
作者:
Klauhal (赤)
2024-05-05 21:05:00这个就是RCE漏洞啊,远端结束麻烦结束程式你以为骇客只会猜帐号密码和钓鱼这些鸟招吗抓到可利用途径就是主动入侵没在管你有没有点连结
可能你平常就有在课金银行才没觉得是危险消费吧 毕竟都可以刷到13万了
作者:
s203abc (SamFu)
2024-05-05 21:38:00正常谁知道你有玩什么游戏又知道能刷的
作者: DelvishChen (Paraselena) 2024-05-05 22:56:00
2FA要看是否只有第一次验证,后续验证全部改为已信任装置。session token就可能透过后门拿到略过验证