1
zlink 2018-07-07 10:05:59 +08:00 via iPhone 5
自作聪明?
|
2
beastk 2018-07-07 10:08:06 +08:00 via iPhone
不能用手机扫码登录吗?
|
3
vyronlee 2018-07-07 10:10:22 +08:00 via iPhone 12
安装扩展 Don ’ t fuck with paste
|
4
hjc4869 2018-07-07 10:23:26 +08:00 via iPhone
随机密码没必要用那么长的,满足最低要求就够了
|
5
tangshiba 2018-07-07 10:35:12 +08:00 via Android 1
我都是谷歌浏览器记住密码不用输入的。
|
6
1OF7G 2018-07-07 10:36:43 +08:00 via iPhone
随机密码一律 6 位,不行就 8 位。因为有时候必须手打,比如在其它设备上输入。
密码本身的强度已经远不是薄弱点了,即使网站被脱裤密码 hash 被爆破,每个账号单独密码也不会波及其它账号。 |
7
kunluanbudang 2018-07-07 10:36:55 +08:00 via Android
无解
我用的是浏览器自动填充密码 |
8
cigarzh 2018-07-07 10:49:59 +08:00 via iPhone
我 100 位随机😭
|
12
bzw875 2018-07-07 11:49:10 +08:00
在开发者工具里粘贴嘛
|
13
Perry 2018-07-07 11:57:21 +08:00 via iPhone
我是这样的 手机应用登陆可以粘贴 所以网页版就扫描了
|
14
kslr 2018-07-07 11:57:44 +08:00 via Android
改 html
|
15
34C 2018-07-07 13:59:24 +08:00 via iPhone
自己写了一个小工具… 模拟键盘逐字输入,专门应对各种不让粘贴的地方…
|
16
Salvation 2018-07-07 14:37:19 +08:00
如果你觉得把密码改短会导致:导致安全性降低
那么支付宝支持复制粘贴密码不会导致:导致安全性降低吗? 什么是自作聪明呢?哪个银行的会允许你粘贴密码呢? |
20
silymore 2018-07-07 15:10:28 +08:00 via iPhone
密码不能复制只能粘贴
|
22
ctsed 2018-07-07 15:44:08 +08:00 via Android
这种安全策略都是真金白银换来的经验
|
23
cnyang 2018-07-07 15:53:40 +08:00
扫码或 keepass 自动输入
|
25
outloudvi 2018-07-07 16:14:49 +08:00 via Android
@Salvation 个人认为不会。如果确有这种情况,还望 S 君不吝赐教。
另外,Troy Hunt ( haveibeenpwned 的作者)也认为禁止粘贴密码没有什么意义( ref: https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/)。有的公司认为这能防止暴力攻击,但这可能不是不允许粘贴密码的借口…… |
26
outloudvi 2018-07-07 16:15:43 +08:00 via Android
|
27
Salvation 2018-07-07 17:41:47 +08:00
@outloudvi 我个人的理解是这里有个困局就是便利性和安全性的平衡.我认为这里的设计也不是全无道理.说自作聪明似乎有点随意了.技术上是否有很大安全性帮助没有深入研究过.
|
28
lalalainchina 2018-07-07 19:45:32 +08:00 via iPhone
騰訊自作聰明的不支持長密碼,不支持虛擬卡號註冊,不支持安卓模擬器,害得我....
|
29
lalalainchina 2018-07-07 19:46:23 +08:00 via iPhone
@lalalainchina 卸載了騰訊程序並把 QQ 微信跑在了虛擬機裡
|
30
coolcoffee 2018-07-07 20:00:28 +08:00
如果是支付宝 pc 版本的话,我会直接打开开发者工具,点中 input, 然后执行 $0.value="xxxx";
|
31
huclengyue 2018-07-07 20:34:58 +08:00 via Android
@lalalainchina 腾讯可以国外虚拟卡注册。。。
|
32
mingyun 2018-07-07 20:56:09 +08:00
@coolcoffee 好 6
|
33
des 2018-07-07 21:07:42 +08:00 via Android 1
|
34
lalalainchina 2018-07-07 22:33:37 +08:00 via iPhone
@huclengyue wechat 不行,實測
|
35
huclengyue 2018-07-07 23:14:18 +08:00 via Android
@lalalainchina 我是手机注册的后来解绑之后又绑定了 GV 似乎可以曲线救国
|
37
ETiV 2018-07-08 00:04:57 +08:00
Sublime Text 新开一个 tab,粘贴密码进去;
全选密码,拖拽进密码输入框,登录。 |
38
ETiV 2018-07-08 00:06:12 +08:00
另外,微信支付那个才是变态…… Safari 安装控件,必须手打密码…我都快把形如乱码的密码记住了…
|
39
bucky 2018-07-08 00:17:56 +08:00
觉得这能提高安全的可能和阿里的产品经理一样,一拍脑袋一个点子就出来了
|
40
ranye 2018-07-08 00:34:14 +08:00 1
这个和安全还能稍微扯上点边,毕竟是浏览器环境。
iPhone 版 QQ 禁止粘贴密码才叫真傻逼 |
41
yksoft1 2018-07-08 01:05:08 +08:00
@lalalainchina 微信需要注册用的 IP 和手机号归属国(国外)归属省份(国内)一致,而且必须用这个地区的 IP 挂个十几天
|
43
aice114 2018-07-08 08:10:33 +08:00 via Android
我还以为是防止复制了密码,然后后面打开了一个能获取剪贴板内容的软件把密码获取了?
|
44
F1024 2018-07-08 09:46:41 +08:00
粘贴密码更容易被盗吧.
|
45
creating2000 2018-07-08 10:00:46 +08:00 via iPhone
@ranye 确实很烦人
|
46
x18960 2018-07-08 10:05:11 +08:00 via Android
黑产大佬就喜欢你的想法
|
47
qq30545 2018-07-08 11:25:26 +08:00
键盘宏( 快捷键加密😁 )
|
48
mostkia 2018-07-08 13:17:36 +08:00
如果是电脑网页端,自己写个油猴子脚本吧(自己写安全一些),大体思路:指定域名激活脚本,脚本激活后为密码输入框绑定焦点触发事件,一旦发现你点击了输入框,就弹出 alert 辅助输入框,copy 密码到输入框内,点击确定,脚本通过你输入的密码,向输入框的 value 来导入密码。
|
49
outloudvi 2018-07-08 18:46:08 +08:00 via Android
@Salvation 安全性角度上确实有让暴力攻击变得更不容易实施了(尤其是再加上一个安全控件),但感觉这没法成为理由啊,这种设计让使用密码管理器的人怎么办……
|
50
Salvation 2018-07-08 22:57:04 +08:00
@outloudvi 有的时候很多东西真的不能考虑完善的.比如你想想如果你设计支付宝,你怎么设计?咋一想似乎很简单,但是实际情况是中国还有很多偏远地区的人才用上智能手机,对于他们,是不是要保证安全?
用密码管理器的人肯定有,但是是少数.而那些完全没有安全意识的人,才是多数... 所以如果一个产品的受众是全国用户,思考的路线是不一样的.很难简单拍板一个功能到底好不好. |
51
lalalainchina 2018-07-09 08:05:59 +08:00 via iPhone
|
52
lalalainchina 2018-07-09 08:21:31 +08:00 via iPhone
@yksoft1 ‘ Cell numbers from virtual operators cannot be used to register for Wechat ’ 这是原话...实体卡好像要让你找一个实名过的的人给你确认才能注册,可能是因为我用的开放代理,IP 黑名单了?
|
53
lalalainchina 2018-07-09 08:22:35 +08:00 via iPhone
@huclengyue 换绑没有太大意义啊,WeChat out 倒是可以用了,可是我为什么不用 Skype...hangout.
|
54
WastedTime 2018-07-09 11:27:44 +08:00
@ranye iPhone QQ 那个是真的烦人,不让粘贴密码,我密码特么的是密码工具生成的一大串你让我手动敲?疯了
|
55
yksoft1 2018-07-09 11:41:40 +08:00
@lalalainchina 中国地区手机号确实必须辅助注册了。不过其实现在假身份资料(正反面+手持)资源一大堆吧,想养号的还是可以养。。
|