即使是 2048 位密钥,使用一些密码破解模块也能在适量的时间内破解。
寻找不可伪造的身份验证协议,有点像是计算领域的圣杯。
这款笔记本电脑上的指纹扫描仪非常不可靠,我把它禁用了。
如果你看过电影《千钧一发》(GATTACA),你会发现连 DNA 测试都能被伪造。(禁止或限制生物特征参数收集和存储的呼声似乎越来越高。)
3 个赞
我喜欢那部电影
1 个赞
我还没有深入研究代码,DIscourse 中使用了哪种加密方法来处理密码?
1 个赞
我认为很少有论坛管理员能接触到 ChatGPT 级别的硬件。
2 个赞
3 个赞
当然。
但如果问题是“恶意管理员是否会因为哈希而构成真正威胁”,那么答案是否定的。
我并不完全同意。
恶意管理员能够绕过至少一个重要的防御机制(密码尝试的速率限制,因为如果他们拥有哈希值,就可以进行离线尝试)。将其视为不重要或没有威胁可能被视为疏忽。
我不确定“ChatGPT硬件”是什么(除了试图使用时髦词来形容完全不相关的东西),但这个表格没有包含字典攻击,这是一个真正的疏忽,使得事情看起来比实际情况更难。
5 个赞
SolarWinds123
@codergautam 希望您已采取措施防止此类事件再次发生在您的论坛上。祝您好运!
5 个赞
所以……
这是我到目前为止所做的。
-
创建了一个置顶主题和另一个横幅,解释了事件情况,并告知所有人重置密码并启用双重身份验证 (2FA)
-
为版主启用了双重身份验证 (2FA) 要求
-
就此次攻击向版主提供了建议,并防止再次发生此类攻击
大多数活跃用户已重置密码,但这只占论坛用户的大约 10%。我真的不想重置所有人的密码,因为如果他们将来选择重新登录,这只会给他们带来困惑。
4 个赞
是的,但如何防止类似的社会工程渗透和保护管理员呢?
2 个赞
这是我100%的错。我决定不再给任何人管理员权限,尤其是那些我没有见过、现实生活中也不信任的人。
5 个赞
用户名中包含 CSGO 就可能成为暂停处罚的理由……
5 个赞
互联网上的每个安全空间都必须这样做(因此,我们中的一些人喜欢真正的私人消息——加密的)。
1 个赞
社会工程攻击基于人类过于信任他人的弱点。而且,外面有一些非常能说会道的人!
4 个赞
他们确实创建了小号,我们发现后也将这些小号永久封禁了。
2 个赞
为什么不也屏蔽他的IP?我至少会删除一个替代账号并屏蔽IP。
2 个赞
因为更改 IP(如果最初是静态的)比封禁发生得更快?
1 个赞
它实际上比你想象的要好用。我用它阻止了许多有问题用户。我发现封禁更容易绕过。而且,为什么你不用所有可用方法来阻止此人采取进一步行动?
2 个赞