Log for #sitcon

<chuanchan1116>: 新年快樂～

<tonyhhyip>: 新年快樂～

<NightFeather>: 新快年樂~

<yichinlee>: 新年快樂~

<Aries0d0f>: 新年快樂～

<Cakechen>: 新年快樂～

<daisuke1230>: 喵喵喵喵~

<hfhchan>: 新年快樂～

<AustinComet>: 新年快樂~SITCON倒數23天

<Cakechen>: 不要找我要紅包(?

<CrBoy>: (@NightFeather: 新快年樂~) 騙不到我的！

<Vdragon>: https://github.com/canonical-websites/snapcraft.io/issues/310 有誰會說爬說語嗎(X)

<FSSJU>: (@Vdragon: https...) 鬧

<seadog007>: (@s864372002: 之前有人在...) 要ㄇ

<james58899>: (@Vdragon: https...) https://i.imgur.com/nIcvN1x.jpg

<s864372002>: (@seadog007: 要ㄇ) 讓我退卻一下(?)

<seadog007>: (@s864372002: 讓我退卻一...) 快跟快跟

<benyii>: https://i.imgur.com/8puuYWS.jpg

<benyii>: 密碼強度足夠？ 怎麼知道的 難道存明碼？！

<chuanchan1116>: (reply @benyii) 我猜是比對彩虹表？

<davy_0xff>: 設定密碼的時候就比對看看難度不就好了

<davy_0xff>: 這不就跟一堆人以為註冊的時候會把密碼寄到信箱就說人家存明碼一樣 他不會拿到就寄信嗎

<mingc>: 我猜他是用https://github.com/SirCmpwn/evilpass

<benyii>: (@undefined: 這不就跟一...) 這也是有可能耶，不過把密碼寄到信箱也不是很好的行為吧XD

<undefined>: (@benyii: 這也是有可...) 為什麼啊 你的意思是你的 mail provider 會偷看你的 inbox 嗎？ 那你怎麼沒有懷疑過用 email login link 的服務是不是都不安全XD?

<danny8376>: (@undefined: 為什麼啊 ...) 不不不 SMTP請當明文protocol看待

<danny8376>: 除非信件本身有加密 不然密碼郵寄本身就是讓明碼密碼在網路上流浪

<mingc>: email login link會expire, 但信箱裡的密碼不會

<undefined>: (@mingc: email...) 你這樣說 telegram 用簡訊 OTP 驗證還是有被 cellular 偷登入的例子啊，跟會不會 expire 沒關係吧？

<benyii>: 這些是屬於敏感的東西，寄過來本來就不太安全，畢竟讓敏感的東西大喇喇的曝露出來 那你怎麼會認為 email 寄密碼是安全的？

<undefined>: (@danny8376: 除非信件本...) 這倒是一個問題

<koru1130>: (@undefined: 你這樣說 ...) 所以才有第二個自己設的密碼阿XD

<undefined>: (@benyii: 這些是屬於...) 我沒有說寄mail是安全的啊XD

<undefined>: (@koru1130: 所以才有第...) 註冊的時候還沒有密碼呢XD 不過這倒是 tg 作出的改善

<benyii>: (@undefined: 為什麼啊 ...) 我也沒說 mail provider 會偷看我的 mail 啊 XD

<mingc>: (@undefined: 你這樣說 ...) 這種東西大多是多重要素認證中輔助的要素吧，最重要的還是密碼

<undefined>: (@mingc: 這種東西大...) 現在很多服務都是直接以mail link 當作主要登入手段啦XD

<mingc>: (@undefined: 現在很多服...) 原來是這樣嗎，的確是很不安全

<danny8376>: (@mingc: 這種東西大...) 這不一定啊 本來就沒什麼輔助或主要

<danny8376>: 長期固定的密碼不見得有OTP/token來得安全

<danny8376>: 尤其還是大量平台共用的密碼的話

<koru1130>: 我都把忘記密碼當OTP用

<koru1130>: (#

<danny8376>: (@koru1130: 我都把忘記...) wwww

<danny8376>: 說到這 其實忘記密碼功能是很多密碼系統的脆弱點🙊

<mingc>: (@danny8376: 說到這 其...) 看來很講究的話只能在自己的保險櫃裡面自架mail server了

<danny8376>: (@mingc: 看來很講究...) 不 只要有連網路線都不安全(O

<danny8376>: 還有 存人腦的也不安全(X

<mingc>: Mail server的連線可以只進不出吧

<danny8376>: (好像其實存在本身就很危險

<danny8376>: (@mingc: Mail ...) 你能保證妳的mta沒漏洞嗎w

<Cakechen>: 託管 gmail (O

<koru1130>: 學學NSA 把每個人的電腦都監控就不怕有人監控他了

<toppy368>: (@mingc: 這種東西大...) 其實我覺得密碼的規定本身也可能因為規範問題製造漏洞(不一定是程式本身，有可能是人性漏洞

<koru1130>: (@toppy368: 其實我覺得...) 所以我們應該把漏洞的源頭處理掉(不是

<Cakechen>: (@toppy368: 其實我覺得...) 規範問題是個很詭異的限制

<mingc>: (@toppy368: 其實我覺得...) 什麼樣的漏洞啊

<toppy368>: (@mingc: 什麼樣的漏...) 某些系統的帳密不能設定超過6個字

<toppy368>: 或是只能設定英數而無法設定其他符號等

<mingc>: 原來你是指這種漏洞

<toppy368>: 還有忘記密碼的問答採用制定選項也是(相信我，有些問答你三個月就忘記了)

<koru1130>: "誰是最爛的遊戲公司 (兩次)" (X

<Cakechen>: 還有特殊符號也不行

<toppy368>: (@koru1130: "誰是最爛...) 能自訂的話我覺得可在這樣做，反正從資料庫撈