一、堅持使用單一帳號/密碼絕不重覆
二、自身使用習慣良好,不然只有第一條也沒用(不亂裝軟體、不點來路不明的連結,使用虛擬鍵盤輸入密碼等,)
資訊安全有很多層面,我只簡單描述
botdf wrote:
該不會你覺得駭客直接...(恕刪)
不用腦補了。
Apple 的官方聲明出來了:
Apple Media Advisory
Update to Celebrity Photo Investigation
We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
答案不是暴力硬解,而是針對特定對象的社交工程。
如果閣下對網路安全這個議題不熟悉,
那我告訴你一個重點:暴力硬解不是像你幻想的那樣程式開下去嗡嗡響一陣答案就跑出來。
暴力硬解不是你換個 500 list 5000 list 還是 500000000 list 就能搞定的事。
就算長度 8、只用英數字的孱弱密碼,可能的組合也有 218,340,105,584,896 種。
你所需要的東西不是別的,就是時間。
樓上也有人講過,依照 iCloud 要求的密碼強度,就算是整個數據資料都在 local 端,
用一般消費市場能買到的高檔 PC 暴力硬解,也要花很長的時間。
網路上也有一些密碼強度模擬計算資源,我用我自己前一個密碼測試,
結果是 7 年,評價等級是『Weak』。
這還是在 local 端直接計算,計算一次的時間是以毫秒計算;
而透過網路伺服器反應的暴力硬解,要花的時間恐怕已經到天文數字等級。
就算你用多線緒甚至多機器,你也不可能在短短幾天之內破解掉一個帳號。
而且同步存取本身存在高風險:這種攻擊方式非常引人注目。
不只是暴露自身,更有很高的可能性讓被攻擊方即時發現而封鎖漏洞。
這不是科幻片的宅男浪漫幻想,而是我自己就碰過這種事。
我處理的方式不是鎖帳號,而是讓系統自動判定,連續輸入錯誤就鎖來源 IP 一段時間。
--
補充:我用我新密碼的規則改幾個字再模擬計算,
長度 12 字,破解時間要 48026 年。
歡迎來嘗試暴力破解。
ulyssesric wrote:
不用腦補了。
Apple 的官方聲明出來了:
, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
答案不是暴力硬解,而是針對特定對象的社交工程。
如果閣下對網路安全這個議題不熟悉,
那我告訴你一個重點:暴力硬解不是像你幻想的那樣程式開下去嗡嗡響一陣答案就跑出來。
暴力硬解不是你換個 500 list 5000 list 還是 500000000 list 就能搞定的事。
就算長度 8、只用英數字的孱弱密碼,可能的組合也有 218,340,105,584,896 種。
你所需要的東西不是別的,就是時間。
樓上也有人講過,依照 iCloud 要求的密碼強度,就算是整個數據資料都在 local 端,
用一般消費市場能買到的高檔 PC 暴力硬解,也要花很長的時間。
網路上也有一些密碼強度模擬計算資源,我用我自己前一個密碼測試,
結果是 7 年,評價等級是『Weak』。
這還是在 local 端直接計算,計算一次的時間是以毫秒計算;
而透過網路伺服器反應的暴力硬解,要花的時間恐怕已經到天文數字等級。
就算你用多線緒甚至多機器,你也不可能在短短幾天之內破解掉一個帳號。
而且同步存取本身存在高風險:這種攻擊方式非常引人注目。
不只是暴露自身,更有很高的可能性讓被攻擊方即時發現而封鎖漏洞。
這不是科幻片的宅男浪漫幻想,而是我自己就碰過這種事。
我處理的方式不是鎖帳號,而是讓系統自動判定,連續輸入錯誤就鎖來源 IP 一段時間。
--
補充:我用我新密碼的規則改幾個字再模擬計算,
長度 12 字,破解時間要 48026 年。
歡迎來嘗試暴力破解。
...(恕刪)
其實多看文可以看出專業度
一堆果黑程度真的太淺
拼命造謠,只想用標題殺人
但偏偏電腦這種東西是死的
凡走過必留下痕跡、一步一腳印
所以各種抹黑根本被一一破解
只能說感謝專業回文
willychn33 wrote:
大大 我貼那個是在跟...(恕刪)
不用猜了,已搞清楚是這個東西在搞鬼:
http://www.elcomsoft.com/eprb.html
理論上這是警方辦案用的工具,經由俄羅斯等地下管道在駭客界流通。
工作原理就是用軟體模擬成一台 iPhone,下載備份並還原成可檢視的檔案。
重點是不會觸發警示。
iCloud 備份和 iCloud 帳密是獨立的兩個不同東西,
一台新的 iPhone 經由 Associate 過程在本地端計算出金鑰,之後才能解密復原。
而這個 Associate 過程才會觸發包含警示或是二次登入等後續反應。
這個東西是直接跳過這一步,
取得受害者帳號密碼,下載整個加密的備份之後,
在本地端直接暴力硬解。
不過這家公司也說明,暴力硬解不保證成功,依據設備計算能力和運氣,
破解時間從幾分鐘、幾小時、幾年甚至幾個世紀都有可能。
整件事發展到現在,坦白說我不曉得這到底能不能定義為「駭侵」...
利用社交工程取得密碼,然後利用離線工具暴力硬解...
這樣搞法,再怎麼銅牆鐵壁的線上系統也防不了,
而 ElcomSoft 還火上加油的宣稱他們連 BlackBerry 10 都照破不誤。
我想,不管是不是有名人,還是不要太相信線上服務比較好...
ulyssesric wrote:
Apple 的官方聲明出來了:
Apple的官方聲明????
又不是FBI的官方聲明
Apple的官方止血帖,意義在哪?lol
再來,你所謂的暴力法,是一種
智力=0 力量=999 的暴力法
暴力法也可以點智的好嘛???
按照目前駭客釋出的iBrute
本來就是依據一定的資料產生的
還在那邊218,340,105,584,896種組合咧...
然後這邊又會扯到為啥密碼要設定的這麼好猜到
這邊就鬼打牆了
不然反正這也不算漏洞
你密碼猜個100次就能猜到的就算你蠢.跟我沒關係.
除非你跟我說Find my iPhone根本沒有出現封鎖機制漏洞
自己去想想猜錯密碼沒事情算什麼等級的安全漏洞???
絕對不符合蘋果的東西就會比較安全的"假設"
至於各平台密碼一致的問題......
確實各平台密碼都設定一樣很"蠢"(不過唱這高調的人不知道有多少人真的去設不同密碼)
所謂的不一樣可不是mobil12345和yahoo12345這種喔,
拜託就不要算去218,340,105,584,896種啦...
要是追根究底,還是因為iCloud可以被Try密碼
最後確實留出照片的地方未必是iCloud沒錯啊!!
這邊要算帳的話則變成
誰叫你要把iCloud"這個這麼脆弱的平台"密碼設定和某平台一樣啊
這也順便解釋了為啥有些內容根本不像iCloud的東西.
果粉可別偷換概念呀!!
所以,麻煩告訴我Find my iPhone根本沒有密碼錯誤漏洞
不然硬要凹這無關蘋果安全性,實在有點太凹啦!
geniesjan wrote:
Apple的官方止血帖,意義在哪?lol
那始作俑者的「貼圖者」(根本不是「駭客」)自己在跑路前發的聲明有意義嗎?
http://www.dailymail.co.uk/news/article-2740003/Celeb-hacker-run-Mystery-man-stole-celeb-nude-pics-admits-running-authorities-deep-web-hackers-congratulate-him.html
重點:
1. 他不是駭客,只是蒐集者。
2. 不是他幹的,是很多人花很久的時間慢慢累積的
3. 他拿來賣的圖片是假貨,他自己都覺得有夠蠢
補充目前已經釐清的事實:
4. 列表上「101 位女性名人」實際上只有極少人的圖片流出,其他連到底是不是真有圖片都不清楚
5. 除了某奧斯卡女星指稱照片是真實以外,其他數位被點名女性名人都公開聲明圖片係偽造
6. 而那張奧斯卡女星圖片,係由匿名鄉民於 8/26 貼出,宣稱是剛從 iCloud 掠奪來的重大勝利
7. 但是其他匿名鄉民隨即打臉:那張圖片早在數週至數月前就在網路上流傳
後續補充:第 6 點的打臉鄉民很可能是對的。
有證據顯示,這些圖片至少在 8/19 就在網路上流傳
http://deadspin.com/this-guy-was-sharing-the-hacked-celeb-nudes-weeks-befor-1629384848
換句話說:
1. 圖片來源不明
2. 圖片是否真的包含 101 人不明
3. 圖片多數真偽不明
還要繼續扯下去嗎?
如果你還想繼續扯,目前分析指出,部分相片開始在網路上流傳的日期,
『剛剛好』符合今年稍早 Google Drive 發生嚴重安全漏洞事件的日期,
依據 Google 的聲明,該漏洞可能會讓「使用者的私人資料遭受惡意人士不當取用」。
http://www.komando.com/happening-now/261781/a-flaw-in-google-drive-may-have-leaked-your-private-documents
而 Google Drive 安全漏洞事件的前一個月,
Dropbox 也『剛剛好』發生安全漏洞,
這個漏洞同樣也是可以讓無權限使用者取用需授權使用的資料。
https://blog.dropbox.com/2014/05/web-vulnerability-affecting-shared-links/
故事人人會編,新聞人人會寫。
geniesjan wrote:
按照目前駭客釋出的iBrute
本來就是依據一定的資料產生的
還在那邊218,340,105,584,896種組合咧...
所謂的「依據一定的資料產生」,其實就是「網路鄉民最常用的 500 種密碼組合」。
測試的就是你不屑的 mobile12345 這種組合。
實際上一個長度 8 的完整密碼組合就是 218,340,105,584,896 種,
任何一個低於這個數量的測試集合,都無法保證你一定能破解成功。
而且這還只是 iCloud 允許的最低密碼強度下限。
十個字甚至十二個字以上的密碼你需要進行完整測試的組合數量,我想不用貼了。
換句話說,所謂「依據一定的資料產生」的測試方法,就是在亂槍打鳥無誤。
而這正是 iBrute 設計的本意:
在一大串名冊中快速找到可以被破解利用的帳號。
亦即,你弄個一萬筆帳號過來,連跑 iBrute 一個月(一筆查詢花半秒,跑完要 28.9 天),
他最後幫你找出 10 個蠢蛋的帳號密碼,這就是 iBrute 的用途。
當然,這完全不保證能破解掉你想要的帳號。
如果你以為 iBrute 真的會依據你的生辰八字體重三圍計算出「你應該會用的 500 組密碼」,
那現實中的你真的該多點一些智力屬性。
geniesjan wrote:
這邊又要把帳算到誰叫你要把iCloud這個這麼脆弱的平台密碼設定和某平台一樣啊
這也順便解釋了為啥有些內容根本不像iCloud的東西.
所以,麻煩告訴我Find my iPhone根本沒有密碼錯誤漏洞
不然硬要凹這無關蘋果安全性,實在有點太凹啦!
你自己回頭去看看我前幾樓的發文。
http://www.mobile01.com/topicdetail.php?f=383&t=4057669&p=8#51932219
ulyssesric wrote:
無論如何,Apple 搞出這種允許別人暴力硬解的白痴漏洞就是該罵無誤,
但是我不認為這次的艷照事件和這個漏洞有關。
我沒修改,歡迎護貝。
ulyssesric wrote:
不用腦補了。
Apple 的官方聲明出來了:
, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
答案不是暴力硬解,而是針對特定對象的社交工程。
如果閣下對網路安全這個議題不熟悉,
那我告訴你一個重點:暴力硬解不是像你幻想的那樣程式開下去嗡嗡響一陣答案就跑出來。
暴力硬解不是你換個 500 list 5000 list 還是 500000000 list 就能搞定的事。
就算長度 8、只用英數字的孱弱密碼,可能的組合也有 218,340,105,584,896 種。
你所需要的東西不是別的,就是時間。
樓上也有人講過,依照 iCloud 要求的密碼強度,就算是整個數據資料都在 local 端,
用一般消費市場能買到的高檔 PC 暴力硬解,也要花很長的時間。
網路上也有一些密碼強度模擬計算資源,我用我自己前一個密碼測試,
結果是 7 年,評價等級是『Weak』。
這還是在 local 端直接計算,計算一次的時間是以毫秒計算;
而透過網路伺服器反應的暴力硬解,要花的時間恐怕已經到天文數字等級。
就算你用多線緒甚至多機器,你也不可能在短短幾天之內破解掉一個帳號。
而且同步存取本身存在高風險:這種攻擊方式非常引人注目。
不只是暴露自身,更有很高的可能性讓被攻擊方即時發現而封鎖漏洞。
這不是科幻片的宅男浪漫幻想,而是我自己就碰過這種事。
我處理的方式不是鎖帳號,而是讓系統自動判定,連續輸入錯誤就鎖來源 IP 一段時間。
--
補充:我用我新密碼的規則改幾個字再模擬計算,
長度 12 字,破解時間要 48026 年。
歡迎來嘗試暴力破解。
...(恕刪)
專業回文!推!
內文搜尋
從 APP 打開
X