帳號安全教學
未獲允許,嚴禁轉貼
===帳號安全-[1] PIN 篇===
首先,希望大家知道在尼奧保護帳號的最主要措施是PIN(識別密碼),而帳號的密碼是其次!為什麼這樣說呢?
原因很簡單,就是因為PIN不會被保存於cookies中,就算cookies被偷去,但偷取者不會知道你的PIN。然而你也許認為那麼我加了PIN那不就完全安全嗎?答案為否定的!
PIN一共每日可試5次(即允許錯誤輸入的次數),如果在尼奧時間日子轉換之前後試驗,那就等同可以試10次(今日的5次加上明日的5次)。
有10次試驗機會,如果你是小偷,你會如何試?我則會從以下數方面試驗:
識別密碼設置:
http://www.neopets.com/pin_prefs.phtml
此外,在識別密碼設置頁中,記緊在"在網站特定範圍設定需使用密碼"的所有欄目都要勾選!
首先,希望大家知道在尼奧保護帳號的最主要措施是PIN(識別密碼),而帳號的密碼是其次!為什麼這樣說呢?
原因很簡單,就是因為PIN不會被保存於cookies中,就算cookies被偷去,但偷取者不會知道你的PIN。然而你也許認為那麼我加了PIN那不就完全安全嗎?答案為否定的!
PIN一共每日可試5次(即允許錯誤輸入的次數),如果在尼奧時間日子轉換之前後試驗,那就等同可以試10次(今日的5次加上明日的5次)。
有10次試驗機會,如果你是小偷,你會如何試?我則會從以下數方面試驗:
- 帳號名稱所包含的數字
- 寵物名稱所包含的數字
- 電郵地址所包含的數字
- 註冊時所用的出生年份和月日
- 常用數字(如1234、0123等等)
- 該年年份
- 其他(特殊例外)
識別密碼設置:
http://www.neopets.com/pin_prefs.phtml
此外,在識別密碼設置頁中,記緊在"在網站特定範圍設定需使用密碼"的所有欄目都要勾選!
===帳號安全-[2] 密碼與cookies 篇===
在密碼設置方面,有些人的密碼可能設置得很簡單,有些人可能會設置得很長很複雜......
不過,cookie grabber(下稱小偷)是不需理會你的密碼是如何的,他們的方法很簡單,流程如下;
也就是說小偷根本不需要去慢慢破解你的密碼,只管偷cookies就是了。
Win Vista/7 cookies 存放位置:
IE:系統所在:\Users\帳號名\AppData\Roaming\Microsoft\Windows\Cookies
FF:系統所在:\Users\帳號名\AppData\Roaming\Mozilla\Firefox\Profiles\xxxx.default\cookies.sqlite
Win XP cookies 存放位置:
IE:系統所在:\Documents and Settings\帳號名\Cookies
FF:系統所在:\Documents and Settings\帳號名\Application Data\Mozilla\Firefox\Profiles\xxxx.default\cookies.sqlite
※其中Firefox的xxxx.default 中的xxxx是亂數。
事實上,知道cookies 的存放位置沒什麼用,純粹讓各位知道若果看到有朋友來你家走去copy的話,那你就得小心啦.....
一般來說,尼奧存放在cookies中的密碼的加密方法一日未洩露出去,小偷是沒有可能破解你的密碼的......
你可能認為小偷根本不知道你的密碼,那密碼隨便改不就行了嗎?如果你是這樣想的話,那你就錯了!我可不知小偷除了neopets.com的cookies外,還會不會偷了其它網站的cookies。如果偷了的話,也許小偷有空的話從其他網站的cookies去破解你的密碼,你就危險了......
如一個在香港有名的網誌服務供應商 Qooza,它的加密方法很"簡單",單純是md5 (Message-Digest algorithm 5)加密,如果你也有Qooza帳號的話,你可登入後在cookies中查詢一個名為_password的key的值(內容),然後去找一個專門破解md5的網站,如www.cmd5.com。如果被破解了,你就該換密碼了,否則被偷了cookies就不好了。如果尚未被破解,恭喜你,你的密碼暫時安全(你也應該google一下其它破解md5的網站測試一下)。
那如何可防止cookies被偷?
我建議你用最新穩定版Firefox,在Firefox的附加元件中用[Adblock plus] + [Flashblock] + [No Script] +[WOT],而且禁用第三方cookie,以及不隨意打開pdf文件,基本上就安全的了。
如果還是怕防不了user lookup或商店的script,你可以打開source(原始碼)來看看,按[Ctrl]+[F]來搜尋有無以下的代碼:
看到有的話,趕快改密碼,以策安全吧~
http://www.neopets.com/userinfo.phtml
附註:
尼奧所設的Cookies中最重要是這兩個(有帳號密碼資訊):
在密碼設置方面,有些人的密碼可能設置得很簡單,有些人可能會設置得很長很複雜......
不過,cookie grabber(下稱小偷)是不需理會你的密碼是如何的,他們的方法很簡單,流程如下;
- 以XSS(Cross-site scripting跨網站指令碼)盜取你的cookies
- 偽造(複製) 所需的cookies
- 直接打開neopets.com (就已經進入你的帳戶了......)
也就是說小偷根本不需要去慢慢破解你的密碼,只管偷cookies就是了。
Win Vista/7 cookies 存放位置:
IE:系統所在:\Users\帳號名\AppData\Roaming\Microsoft\Windows\Cookies
FF:系統所在:\Users\帳號名\AppData\Roaming\Mozilla\Firefox\Profiles\xxxx.default\cookies.sqlite
Win XP cookies 存放位置:
IE:系統所在:\Documents and Settings\帳號名\Cookies
FF:系統所在:\Documents and Settings\帳號名\Application Data\Mozilla\Firefox\Profiles\xxxx.default\cookies.sqlite
※其中Firefox的xxxx.default 中的xxxx是亂數。
事實上,知道cookies 的存放位置沒什麼用,純粹讓各位知道若果看到有朋友來你家走去copy的話,那你就得小心啦.....
一般來說,尼奧存放在cookies中的密碼的加密方法一日未洩露出去,小偷是沒有可能破解你的密碼的......
你可能認為小偷根本不知道你的密碼,那密碼隨便改不就行了嗎?如果你是這樣想的話,那你就錯了!我可不知小偷除了neopets.com的cookies外,還會不會偷了其它網站的cookies。如果偷了的話,也許小偷有空的話從其他網站的cookies去破解你的密碼,你就危險了......
如一個在香港有名的網誌服務供應商 Qooza,它的加密方法很"簡單",單純是md5 (Message-Digest algorithm 5)加密,如果你也有Qooza帳號的話,你可登入後在cookies中查詢一個名為_password的key的值(內容),然後去找一個專門破解md5的網站,如www.cmd5.com。如果被破解了,你就該換密碼了,否則被偷了cookies就不好了。如果尚未被破解,恭喜你,你的密碼暫時安全(你也應該google一下其它破解md5的網站測試一下)。
那如何可防止cookies被偷?
我建議你用最新穩定版Firefox,在Firefox的附加元件中用[Adblock plus] + [Flashblock] + [No Script] +[WOT],而且禁用第三方cookie,以及不隨意打開pdf文件,基本上就安全的了。
如果還是怕防不了user lookup或商店的script,你可以打開source(原始碼)來看看,按[Ctrl]+[F]來搜尋有無以下的代碼:
- document.cookie (應只找到一個設定尼奧時間的cookies,出現兩個即有問題了)
- location.replace (不應出現)
- document.location (不應出現)
- alert (不應出現)
- fromCharCode (不應出現)
看到有的話,趕快改密碼,以策安全吧~
http://www.neopets.com/userinfo.phtml
附註:
尼奧所設的Cookies中最重要是這兩個(有帳號密碼資訊):
- neologin
- toolbar