有些网站的账号逻辑真的很奇怪,每次登录都要 SMS OTP,而重置密码也只要收一次 SMS OTP。
相当于平时登录需要用户名 + 密码 + OTP 三个因素,但是重置密码只要用户名 + OTP 两个因素。
对于使用密码管理器的用户来说,密码反而是不容易泄露的东西,但 SMS OTP 可以被 SIM swap attack 偷走。这种奇怪的账号逻辑的实际效果就是使平时登录更麻烦,但是让黑产更方便…
wzyboy /
npub1p4…ftz0d
2024-09-06 21:51:06
Author Public Key
npub1p4wpgvfzu0gn3t6x0k9j89l2ac5vh43zgw4sl0znym5jhad4a82qsftz0dPublished at
2024-09-06 21:51:06Event JSON
{
"id": "1e75e146be0a77c894556cd277e41458d970c4c681b3208a5dafe023c683b369",
"pubkey": "0d5c143122e3d138af467d8b2397eaee28cbd62243ab0fbc5326e92bf5b5e9d4",
"created_at": 1725659466,
"kind": 1,
"tags": [
[
"proxy",
"https://dabr.ca/objects/836c5ba1-fbe3-432e-8fd9-718b74941495",
"activitypub"
]
],
"content": "有些网站的账号逻辑真的很奇怪,每次登录都要 SMS OTP,而重置密码也只要收一次 SMS OTP。\n\n相当于平时登录需要用户名 + 密码 + OTP 三个因素,但是重置密码只要用户名 + OTP 两个因素。\n\n对于使用密码管理器的用户来说,密码反而是不容易泄露的东西,但 SMS OTP 可以被 SIM swap attack 偷走。这种奇怪的账号逻辑的实际效果就是使平时登录更麻烦,但是让黑产更方便…",
"sig": "c1491c435a47fa57659547e90addbf0f823699851a94b011df6d1e55469d7056d335faabdc048f679575ffa54f1e385b14e2431da991fa1624165b2146e508c0"
}