為什麼這篇原神能用uid登入嗎鄉民發文收入到精華區:因為在原神能用uid登入嗎這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者baka (バカ)看板miHoYo標題Re: [閒聊] 原神帳號被盜 請留意帳號安全時間Tue ...
※ 引述《Hasanieer (哈薩涅爾)》之銘言:
: 帳號有綁定gmail跟HoyoLab,但駭客可以略過信箱認證來盜取帳號,我猜可能跟我用模擬器
: 登錄過有關吧,然後常用登入裝置沒刪除導致可以直接略過認證
:
推 PuPuyo: 能登入遊戲不奇怪 最神奇的是改密碼需要google信箱 2fa都08/30 12:38
推 PuPuyo: 能略過08/30 12:38
這位板友說到重點
我們需要釐清的點是為什麼駭客可以處理or繞過信箱的改密碼認證信
目前有看過一個案例是透過遠端程式的後門,直接在你電腦進行email操作
(電腦防毒正常運作的情況)
而就算沒使用遠端,現今已知的一些木馬病毒也能達到同樣的功能
最好笑的是上週還有新聞,原神的mhyprot2.sys被駭客當後門進一步關閉防毒
而防毒被關閉,大家都知道會發生甚麼事
米社你的無心之過會讓玩家承受這些風險,我只能說再加油
--
https://i.imgur.com/aS9nMqI.jpg
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.148.239.28 (澳大利亞)
※ 文章網址: https://www.ptt.cc/bbs/miHoYo/M.1661838685.A.7A5.html
推 anpinjou: 喔 這個我有聽朋友說到 08/30 14:00
推 k1k1832002: 還來阿 08/30 14:10
→ k1k1832002: 防毒軟體卻成為幫兇?駭客利用Windows Defender偷渡勒 08/30 14:10
→ k1k1832002: 索軟體LockBit 08/30 14:10
→ k1k1832002: 那這鍋算微軟嗎 08/30 14:10
不然你要檢討受害者嗎?另外這問題你可能要問原串的原po,我只是分享資訊
如果技術宅真的可以拯救世界,那米社應該要負起責任主動幫助玩家維護帳號安全
而不是踢皮球讓玩家自己承擔風險欸
可以出的配套我舉例
若玩家明顯被駭客從異地盜取帳號,米社可以建立一個團隊來查核並且維護玩家權益
例如這個帳號雖然拿不回來,但米社可以給你一個UID不同,其他資料全部一樣的帳號給你
-
既然我們跟米社,千防萬防都躲不過駭客
並且在全世界都互相踢皮球的情況,帳號公司至少有個配套措施不過分吧?
→ nemuasakura: 其實巴哈早就有繞過gmail驗證被盜的案例了吧 08/30 14:12
那篇我有看到欸,但最後各種可能性很模糊,沒有明確的how推 k1k1832002: 不想跟你瞎扯編文那段,其他人聊吧 08/30 14:27
誇張,配套措施還是我臨時想出來的欸我這麼用心回你,如果不想瞎扯就算了XD
推 yuzukeykusa: 每次問券都有問對帳號安全的疑慮,過這麼多版也沒改 08/30 14:29
→ yuzukeykusa: 善什麼耶,還是看到無徵兆就被改綁其他信箱 08/30 14:29
→ LeonBolton: 很多公司並不負責玩家自己使用電腦的行為 08/30 14:35
→ LeonBolton: 除非你能證明帳號被盜是因為MHY的漏洞所造成,這樣才 08/30 14:35
→ LeonBolton: 有機會要求MHY給玩家補償 08/30 14:35
→ LeonBolton: 被盜就要廠商給一個一樣的帳號,世界上沒有一個廠商會 08/30 14:35
→ LeonBolton: 這麼做 08/30 14:35
確實異想天開,我也只是感嘆這些被盜文章層出不窮,甚至無法確定根本原因出在哪搞得大家人心惶惶,著實有些不妥
--
回到增加安全性方面
我也想到一個配套,可以稱做雙重認證
於米社改密碼時,不僅寄出email驗證信
同時也寄出簡訊至你綁定的手機號碼
當驗證信與簡訊內容都輸入正確才有辦法成功更改密碼
這時候駭客就算能處理email,那他還要再額外處理簡訊的問題
推 simpson083: mac+GFN done:D 08/30 14:50
gfn目前的缺點就只有fps鎖60 QQ推 Hasanieer: ..為什麼微軟提供的服務出現漏洞不是微軟的鍋?至於米 08/30 14:58
→ Hasanieer: 忽悠 看其他巴哈被盜的人詢問客服,都是非常高姿態認為 08/30 14:58
→ Hasanieer: 一定不是米的錯,那我也認了 畢竟米連個2fa認證都不願 08/30 14:58
→ Hasanieer: 意給 08/30 14:58
只能說遊戲公司把帳號安全外包給其他公司,基本上就是想減輕這方面的成本米社最高層級的綁定是email,而不是手機,一看就知道在偷懶
我覺得至少要同樣層級,而需不需要兩邊都同時驗證就再看情況
→ LeonBolton: 手機鎖就可以了,以前wow有用過 08/30 14:59
→ LeonBolton: 登入前撥通電話(響了會自動掛斷),2-3分內登入才會 08/30 14:59
→ LeonBolton: 是有效登入,不是用你電話打(可以設定多組),就算有 08/30 14:59
→ LeonBolton: 帳密也無法登入 08/30 14:59
手機鎖的方式很聰明,不只可以應用到登入,也能應用到改資料的驗證推 ch710181: 樓上這樣講讓我想起多年前玩ro登入都要打電話才能進 08/30 15:01
推 ryuter: 在巴哈等了兩三天.總算有人忍不住轉過來了.呵呵 08/30 15:04
恭喜,這甚至不是轉,而是看到有會讓玩家人心惶惶的"我不知道為啥被盜文"又出現我才順帶一提,來討論一下阿,呵呵
你忍得住要不要順便提供配套措施?
→ LeonBolton: 微軟的麻煩在於,你必須證明是因為”某個漏洞”,所造 08/30 15:04
→ LeonBolton: 成的直接損失 08/30 15:04
→ LeonBolton: 舉證之所在,敗訴之所在(而且還要舉證損失的價值) 08/30 15:04
→ nemuasakura: 手機認證的確是很萬能的解法 08/30 15:05
推 ch710181: 打電話才能登入有個麻煩是知道帳密的會被搶登 08/30 15:07
推 ch710181: 如果設定每次登入都要簡訊或是authenticator這種的就好 08/30 15:08
推 nemuasakura: 不是RO那種打電話登入方式 而是像信用卡那種傳送驗 08/30 15:10
→ nemuasakura: 證碼簡訊 照理來說強度是夠的 08/30 15:10
我也覺得比照信用卡這個來協同驗證,照理來說可行推 Severine: 你說的早有了 多因數驗證 08/30 15:10
→ LeonBolton: 哇~對方有這美國時間,24小時在線盯著你何時上線(有 08/30 15:12
→ LeonBolton: 效時間還不到3分鐘),然後馬上搶登? 08/30 15:12
→ LeonBolton: 自己在定期更換密碼,沒這麼容易盜帳號 08/30 15:12
→ rabbit61677: 用2FA但前提是你從來不用瀏覽器記憶 08/30 15:12
→ rabbit61677: 否則現在駭客目標都是個人電腦開後門 08/30 15:12
→ rabbit61677: 你常用電腦只要能開,2FA email 認證就沒用 08/30 15:12
→ rabbit61677: 現在科技大廠是想推無密碼改由裝置驗證登入 08/30 15:12
裝置驗證確實也是一個方便的工具尤其搭配辨識ID例如指紋or臉部掃描
推 ch710181: 搶登不是寫個腳本就可以了嗎? 08/30 15:13
→ rabbit61677: 簡訊OTP也是一樣,手機有木馬風險只要轉發就比你快 08/30 15:15
→ rabbit61677: 所以還是要從個人防護習慣著手才能保障自己帳號 08/30 15:15
確實簡訊依然有辦法被攔截或是轉發而多一道工序,至少讓情況變成:
就算此駭客掌握A驗證通道
但有機率他無法掌握B驗證通道
若更改密碼需要A與B同時完成
這樣就能成功阻擋一部分駭客的盜取
推 Severine: 如果裝置被遠端當然一切防護都失效 但為了盜帳號還要搞 08/30 15:17
→ Severine: 遠端登信箱會不會太麻煩了 08/30 15:17
→ LeonBolton: 搶登後,然後咧?對方不用守電腦? 08/30 15:17
→ LeonBolton: 登入發呆能幹嘛?不會趁機再登入回來+改密碼? 08/30 15:18
推 sniperex168: 看這篇後,比較想問google或微軟都有出二步驗證器Au 08/30 15:18
→ sniperex168: thenticator,這種每次登入都要輸入認證碼的,理論 08/30 15:18
→ sniperex168: 上是只有手機被駭客才有可能被盜? 08/30 15:18
→ rabbit61677: 2FA被盜可以查Redline stealer,或是登過釣魚網站 08/30 15:24
→ rabbit61677: 2FA算安全但還是有人的問題存在 08/30 15:24
※ 編輯: baka (122.148.239.28 澳大利亞), 08/30/2022 15:25:59→ st13779: 手機鎖那個很難說 自己遇的 很久以前宇XXD的遊戲 登入都 08/30 16:38
→ st13779: 有電話鎖設定 還有顏色鎖 結果某次維修過後開始一堆人被 08/30 16:38
→ st13779: 盜 贓物大流通 而且沒有停止的跡象 從久沒上線到已經棄坑 08/30 16:38
→ st13779: 到還正在玩的 就出現手機已播出登入中 然後馬上彈出通知 08/30 16:38
→ st13779: 框 被同時登入 已登出 搶回要登入時 顏色鎖已被修改 因為 08/30 16:38
→ st13779: 很多人被盜 很多人因為電話鎖有開被登下改顏色鎖 顏色都 08/30 16:38
→ st13779: 被統一 每個登入後的玩家能搬的都空了的 很明顯是遊戲公 08/30 16:38
→ st13779: 司的鍋 哪有修完就炸裂的 08/30 16:38
→ st13779: 另一種某點數卡的網頁 十幾年前辦好就開通電話鎖登入 結 08/30 16:42
→ st13779: 果要儲崩壞3的時候 竟然853點都空了 哪家公司轉點服務能 08/30 16:42
→ st13779: 扣這種3點的...結果其他被盜過的人說 是新出的app問題 不 08/30 16:42
→ st13779: 用電話鎖就登入了 08/30 16:42
→ LeonBolton: 那家的手機鎖也太爛! 08/30 16:42
→ LeonBolton: WoW當初用手機鎖也不是沒有在wow板戰過,被質疑搶登等 08/30 16:43
→ LeonBolton: 的問題,而事實是有手機鎖後,都只聽到鐵齒沒用被盜的 08/30 16:43
→ LeonBolton: 案例 08/30 16:43
→ Louta: 只要多一層門檻 駭客就會少一部份阿 08/30 20:02
→ Louta: 又不是每個駭客都閒著還要算時間搶登 是針對你逆XD 08/30 20:02
→ pobby2266: 這不是米哈遊的鍋就是了 半年前就有一波YT盜頻道潮 相 08/31 09:21
→ pobby2266: 同的手法用到原神上而已 08/31 09:21
→ pobby2266: 他沒有跳過兩步驟因為他根本不需要 不想被盜就不要有 08/31 09:24
→ pobby2266: 任何信任的裝置 08/31 09:24