看到最近一堆人被盗，来试着做点资安宣导好了，原本想写短一点，但不知不觉就这么长
啦XD 手机发文，排版差见谅。
我们就先从骇客怎么取得你的帐号密码说起好了。
一般来说，要获取帐密不外乎三个途径，服务器端，传输层面，客户端。服务器端的漏洞
常出现在我们获取资讯的网页和讨论区，会员登入的输入区块，还有储存资料的区块。
网页讨论区遭到入侵大都是安放广告，强制转址到钓鱼网页，背景下载程式执行这种好处
理到不行的小儿科，防范方法其实观察网址列网域是否正常，还有现在浏览器遇到档案下
载都会提醒，搭配高侦测率的防毒软件就能有效阻挡。
服务器端的处理方法就是安装防毒，硬件软件防火墙等，而这块很多公司都是外包，毕竟
资安人员不好养，而且没事的时候这笔人事支出老板很不爽啊！台湾企业这么爱COSTDOWN
，当然是能省则省喽！不过这块就连白宫，五角大厦，甚至物理隔绝都不知道哪天会倒下
，就不要太苛求了。
关于一些基础的验证机制，以帐号密码为基础，我认为一家公司应该做到的有短时间登入
次数限制和验证码机制以避免机器人，两步骤验证，还有https加密协定。
这篇会写出来的原因很大一部分的因素是因为POE，那我们就用鸡舍的做法当例子吧！登
入次数限制因为我从来没有因为登错被暂时禁止登入过，假定没有，验证码没有，现在正
夯的通讯锁就是两步骤验证的应用，然后登入接口看来是没加密明码传送，所以鸡舍打算
靠通讯锁打天下？在网页登入这块，不及格！
再来我们知道鸡舍游戏都是绑竞时通(不了解大家这么反对大陆流氓软件，鸡舍做差不多
的事时，怎么一堆人都转弯了？)，所以我们可以合理推测通讯锁在信任装置时应该是透
过竞时通，然后验证途径应该是认IP或是认MAC，台湾浮动IP这么多，认MAC应该是比较好
的选择，也有可能是由竞时通产生一组金钥储存在本地端，登入前以此做验证。当我们申
请玩通讯锁后，这时骇客应该要怎么盗你帐号呢？首先，他必须知道你的帐号密码，再来
他需要确定你的位置突破你的防火墙在你的电脑安装木马，取得你电脑的MAC或是金钥(有
加密还要解密喔)然后在他的电脑模拟出你电脑的环境欺骗验证机制来盗你帐号，花费的
时间成本颇不划算，所以大家有空就装一下吧，保障绝对大幅提升。
现在我们来聊聊加密这档事，有朋友认为当你忘记密码时，系统不会直接给你密码，而是
寄给你一串网址或是密码要你以此来修改密码就是加密了，我觉得挺可爱的XDꀊ这其实也是以当初验证信箱为基础的两步骤验证罢了。没有加密的档案你可以当作一个人
欸和认知都能读取的文字档，我们称为明码，PTT就是明码传送的，而获取的方法就只要
拦截封包就好。加密过后的除非取得解密方法，不然他就是一串看不懂的乱码而已，所以
加密是保障我们隐私和安全很重要的一步。再次以鸡舍为例，我们常用到帐密的地方就是
官网和竞时通，在官网论坛登录接口我们看不到常用的加密方式(储值那块除外)，竞时通
除了恶心的背景常驻程式外，究竟他对我们的资讯是以何种方式传送，加密的层级是否足
够这都是值得商榷的。
好了，我们已经把能怪公司的几乎都怪完了，该来检讨我们该做的做好了吗？你有装防毒
吗？你是否只靠晕到死提供的基础防火墙？你是不是用了一堆流氓软件？电脑里充满了盗
版？你也按时更新作业系统吗？安装软件永远无脑按下一步？贪图方便大陆软件一堆？从
来不注意手机APP要求的权限？再来是不是永远一套帐密走天下，密码是不是超好猜的生
日？等等一堆不良的使用习惯，别再那说我没有上奇怪的网站之类的话来推卸责任了，在
要求别人之前自己是不是应该先把该做的做好？
下面来说我是怎么做的给大家参考一下，作业系统不论是不是正版都请按时更新，防毒没
钱就用小红伞，有钱就去买卡巴斯基网络安全版，别用一堆破解盗版然后说小红伞误报。
再来懂电脑的就跟我一样用HIPS吧。我是用COMODO，以此控制监控我电脑里程式，我不同
意，你不准做。免费替代软件明明一大堆(记得从官网下载)，偏偏要用破解，用破解也不
去了解一下它的作用原理，防毒报毒也请你信任你的防毒，而不是关掉他或移除他。我也
三个帐号飞在不同的地方使用，奇摩的用在领优惠，注册论坛等高风险环境，社交方面我
是用微软的，因为这是从以前MSN还在时的习惯，现在也就沿用下来了，工作方面我都是
用谷歌，然后有4套密码轮替，随我心情替换，但是有一个是常用服务专用，只有少数服
务才会用他。定时重灌，COOKIE有空要清一下，配上优秀的防毒以及防火墙提供一个良好
的环境，对外注册帐号密码小心，虽然这样不算完美，但我觉得这是便利性与安全妥协的
成果了。
=我是分隔线=
给看不完的人：
鸡舍的确在资安没做好，但通讯锁是有用的，别铁齿，快去申请吧！
自己的资讯安全要自己先努力，你完全不做功课，不去了解，被盗时怨天尤人很难让人支
持你啊！

我有8成up的把握不是竞时通就是官网被开后门 信者恒信但都直接跟你讲了你可以办但不去办好通讯被盗就活该吧

八成把握还不快去告 告赢赚翻啦

钱和时间你出吗? 一个小小玩家为了这种事告大公司?

八成怎么算的好厉害

八成把握的证据? 一分证据说一分话

在美国你是该为了“这种事”告大公司在台湾 早点洗洗睡喔^.<

所以我说信不信随你 我是G粉 没理由乱黑突然发现原PO是039 XD

有八成机率可以赚赔偿金 拜托站内信给我证据 我赚 ((认真的

我是觉得数据库连结有问题，我同学登过别人帐号是打自己帐密，而且那10分内登入登出，都登到不同帐号而且是登游戏，不是论坛

039XD 签名档可以放菜单?

推宣导，顺便想询问eset这款防毒软件的评价如何?

八成，你就算说是十成我都不信，现在是讲求证据的时代

就像我说林益世有贪污 死忠9.2死都不信是一样的 随便吧

希望你是真的有证据在手。 小心变造谣 ╮(﹀_﹀")╭

我跟你讲 我有九成把握 是那些人的电脑被开后门 信者恒信

写这么长根本没人想看...而且你打这么多根本对玩家没啥帮助

1.注意网址 2.GGC官网没HTTPS加密很容易悲剧3.自己本机上要做好防护 4.有版友怀疑SERVER端有问题另外个人觉得 1.注意网址 这边很多点可以说明~~有兴趣的人可以搜寻"网络钓鱼"或是 Discuz漏洞 之类的关键字吧y对电脑不熟的人 可以想像成 黑客可以偷塞指令让你的电脑跑他想让你跑的程式

就算有https也是有机会悲剧 之前就被抓到漏洞 难保没有其他漏洞

哦哦 那个心脏流血事件总之 目前最新的机制是考虑"时间、时效"通讯安全锁已经算很强又不麻烦的安全机制了

是啊 还是快办吧 我朋友就是铁齿不办 一堆东西掰了

看完推~~

可以问一下吗最近我的作业系统都更新不了，一直失败，请问会怎样吗？

039

流氓软件问题..steam游戏不是也都绑定steam?bz绑定battle.net ubisoft绑定uplay如果一堆欧美公司都这样搞 GGC这样搞有什么问题?到底是别人转弯了 还是你转弯了?