V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
baskice
V2EX  ›  问与答

如何破解支付宝自作聪明的登陆页面禁止粘贴密码的设置?

  •  
  •   baskice · 2018-07-07 10:02:58 +08:00 · 8043 次点击
    这是一个创建于 2365 天前的主题,其中的信息可能已经有所发展或是发生改变。
    由于不能粘贴密码,导致我密码器设置的超长乱码只能手打。

    因此我面临要么改短密码导致安全性降低,要么手打一大串导致经常出错的尴尬。

    这一限制要如何破解?
    56 条回复    2018-07-09 12:30:02 +08:00
    zlink
        1
    zlink  
       2018-07-07 10:05:59 +08:00 via iPhone   ❤️ 5
    自作聪明?
    beastk
        2
    beastk  
       2018-07-07 10:08:06 +08:00 via iPhone
    不能用手机扫码登录吗?
    vyronlee
        3
    vyronlee  
       2018-07-07 10:10:22 +08:00 via iPhone   ❤️ 12
    安装扩展 Don ’ t fuck with paste
    hjc4869
        4
    hjc4869  
       2018-07-07 10:23:26 +08:00 via iPhone
    随机密码没必要用那么长的,满足最低要求就够了
    tangshiba
        5
    tangshiba  
       2018-07-07 10:35:12 +08:00 via Android   ❤️ 1
    我都是谷歌浏览器记住密码不用输入的。
    1OF7G
        6
    1OF7G  
       2018-07-07 10:36:43 +08:00 via iPhone
    随机密码一律 6 位,不行就 8 位。因为有时候必须手打,比如在其它设备上输入。
    密码本身的强度已经远不是薄弱点了,即使网站被脱裤密码 hash 被爆破,每个账号单独密码也不会波及其它账号。
    kunluanbudang
        7
    kunluanbudang  
       2018-07-07 10:36:55 +08:00 via Android
    无解


    我用的是浏览器自动填充密码
    cigarzh
        8
    cigarzh  
       2018-07-07 10:49:59 +08:00 via iPhone
    我 100 位随机😭
    wowo243
        9
    wowo243  
       2018-07-07 11:04:46 +08:00 via Android
    @cigarzh 卧槽,还可以这么长的嘛
    des
        10
    des  
       2018-07-07 11:10:46 +08:00 via Android
    @cigarzh 100 位没啥用,hash 之后也就那么长
    cigarzh
        11
    cigarzh  
       2018-07-07 11:14:31 +08:00 via iPhone
    @wowo243 🌚反正密码器自己会填
    bzw875
        12
    bzw875  
       2018-07-07 11:49:10 +08:00
    在开发者工具里粘贴嘛
    Perry
        13
    Perry  
       2018-07-07 11:57:21 +08:00 via iPhone
    我是这样的 手机应用登陆可以粘贴 所以网页版就扫描了
    kslr
        14
    kslr  
       2018-07-07 11:57:44 +08:00 via Android
    改 html
    34C
        15
    34C  
       2018-07-07 13:59:24 +08:00 via iPhone
    自己写了一个小工具… 模拟键盘逐字输入,专门应对各种不让粘贴的地方…
    Salvation
        16
    Salvation  
       2018-07-07 14:37:19 +08:00
    如果你觉得把密码改短会导致:导致安全性降低
    那么支付宝支持复制粘贴密码不会导致:导致安全性降低吗?

    什么是自作聪明呢?哪个银行的会允许你粘贴密码呢?
    zeroDev
        17
    zeroDev  
       2018-07-07 14:44:27 +08:00 via Android
    @Salvation 难道粘贴密码也会导致不安全?
    tyfulcrum
        18
    tyfulcrum  
       2018-07-07 15:08:35 +08:00
    @Salvation 银行都强制用户去用 IE only 的控件了,安全性当然爆棚(
    silymore
        19
    silymore  
       2018-07-07 15:09:56 +08:00 via iPhone
    silymore
        20
    silymore  
       2018-07-07 15:10:28 +08:00 via iPhone
    密码不能复制只能粘贴
    imn1
        21
    imn1  
       2018-07-07 15:15:18 +08:00
    @zeroDev
    总不能开支付宝后,全部其他 APP 都禁用读取粘贴板的权限吧?
    ctsed
        22
    ctsed  
       2018-07-07 15:44:08 +08:00 via Android
    这种安全策略都是真金白银换来的经验
    cnyang
        23
    cnyang  
       2018-07-07 15:53:40 +08:00
    扫码或 keepass 自动输入
    qmqy
        24
    qmqy  
       2018-07-07 16:01:19 +08:00
    @vyronlee #3 感谢感谢,你推荐的插件太好用了:P
    outloudvi
        25
    outloudvi  
       2018-07-07 16:14:49 +08:00 via Android
    @Salvation 个人认为不会。如果确有这种情况,还望 S 君不吝赐教。

    另外,Troy Hunt ( haveibeenpwned 的作者)也认为禁止粘贴密码没有什么意义( ref: https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/)。有的公司认为这能防止暴力攻击,但这可能不是不允许粘贴密码的借口……
    outloudvi
        26
    outloudvi  
       2018-07-07 16:15:43 +08:00 via Android
    Salvation
        27
    Salvation  
       2018-07-07 17:41:47 +08:00
    @outloudvi 我个人的理解是这里有个困局就是便利性和安全性的平衡.我认为这里的设计也不是全无道理.说自作聪明似乎有点随意了.技术上是否有很大安全性帮助没有深入研究过.
    lalalainchina
        28
    lalalainchina  
       2018-07-07 19:45:32 +08:00 via iPhone
    騰訊自作聰明的不支持長密碼,不支持虛擬卡號註冊,不支持安卓模擬器,害得我....
    lalalainchina
        29
    lalalainchina  
       2018-07-07 19:46:23 +08:00 via iPhone
    @lalalainchina 卸載了騰訊程序並把 QQ 微信跑在了虛擬機裡
    coolcoffee
        30
    coolcoffee  
       2018-07-07 20:00:28 +08:00
    如果是支付宝 pc 版本的话,我会直接打开开发者工具,点中 input, 然后执行 $0.value="xxxx";
    huclengyue
        31
    huclengyue  
       2018-07-07 20:34:58 +08:00 via Android
    @lalalainchina 腾讯可以国外虚拟卡注册。。。
    mingyun
        32
    mingyun  
       2018-07-07 20:56:09 +08:00
    @coolcoffee 好 6
    des
        33
    des  
       2018-07-07 21:07:42 +08:00 via Android   ❤️ 1
    @coolcoffee
    我会点进 event listeners,然后 remove
    我就是要粘贴,我他喵粘爆
    lalalainchina
        34
    lalalainchina  
       2018-07-07 22:33:37 +08:00 via iPhone
    @huclengyue wechat 不行,實測
    huclengyue
        35
    huclengyue  
       2018-07-07 23:14:18 +08:00 via Android
    @lalalainchina 我是手机注册的后来解绑之后又绑定了 GV 似乎可以曲线救国
    easylee
        36
    easylee  
       2018-07-07 23:39:37 +08:00 via Android
    @bzw875 666
    ETiV
        37
    ETiV  
       2018-07-08 00:04:57 +08:00
    Sublime Text 新开一个 tab,粘贴密码进去;
    全选密码,拖拽进密码输入框,登录。
    ETiV
        38
    ETiV  
       2018-07-08 00:06:12 +08:00
    另外,微信支付那个才是变态…… Safari 安装控件,必须手打密码…我都快把形如乱码的密码记住了…
    bucky
        39
    bucky  
       2018-07-08 00:17:56 +08:00
    觉得这能提高安全的可能和阿里的产品经理一样,一拍脑袋一个点子就出来了
    ranye
        40
    ranye  
       2018-07-08 00:34:14 +08:00   ❤️ 1
    这个和安全还能稍微扯上点边,毕竟是浏览器环境。
    iPhone 版 QQ 禁止粘贴密码才叫真傻逼
    yksoft1
        41
    yksoft1  
       2018-07-08 01:05:08 +08:00
    @lalalainchina 微信需要注册用的 IP 和手机号归属国(国外)归属省份(国内)一致,而且必须用这个地区的 IP 挂个十几天
    Z1on
        42
    Z1on  
       2018-07-08 03:04:48 +08:00 via Android
    @ranye Android 版也同样傻逼
    aice114
        43
    aice114  
       2018-07-08 08:10:33 +08:00 via Android
    我还以为是防止复制了密码,然后后面打开了一个能获取剪贴板内容的软件把密码获取了?
    F1024
        44
    F1024  
       2018-07-08 09:46:41 +08:00
    粘贴密码更容易被盗吧.
    creating2000
        45
    creating2000  
       2018-07-08 10:00:46 +08:00 via iPhone
    @ranye 确实很烦人
    x18960
        46
    x18960  
       2018-07-08 10:05:11 +08:00 via Android
    黑产大佬就喜欢你的想法
    qq30545
        47
    qq30545  
       2018-07-08 11:25:26 +08:00
    键盘宏( 快捷键加密😁 )
    mostkia
        48
    mostkia  
       2018-07-08 13:17:36 +08:00
    如果是电脑网页端,自己写个油猴子脚本吧(自己写安全一些),大体思路:指定域名激活脚本,脚本激活后为密码输入框绑定焦点触发事件,一旦发现你点击了输入框,就弹出 alert 辅助输入框,copy 密码到输入框内,点击确定,脚本通过你输入的密码,向输入框的 value 来导入密码。
    outloudvi
        49
    outloudvi  
       2018-07-08 18:46:08 +08:00 via Android
    @Salvation 安全性角度上确实有让暴力攻击变得更不容易实施了(尤其是再加上一个安全控件),但感觉这没法成为理由啊,这种设计让使用密码管理器的人怎么办……
    Salvation
        50
    Salvation  
       2018-07-08 22:57:04 +08:00
    @outloudvi 有的时候很多东西真的不能考虑完善的.比如你想想如果你设计支付宝,你怎么设计?咋一想似乎很简单,但是实际情况是中国还有很多偏远地区的人才用上智能手机,对于他们,是不是要保证安全?

    用密码管理器的人肯定有,但是是少数.而那些完全没有安全意识的人,才是多数...

    所以如果一个产品的受众是全国用户,思考的路线是不一样的.很难简单拍板一个功能到底好不好.
    lalalainchina
        51
    lalalainchina  
       2018-07-09 08:05:59 +08:00 via iPhone
    lalalainchina
        52
    lalalainchina  
       2018-07-09 08:21:31 +08:00 via iPhone
    @yksoft1 ‘ Cell numbers from virtual operators cannot be used to register for Wechat ’ 这是原话...实体卡好像要让你找一个实名过的的人给你确认才能注册,可能是因为我用的开放代理,IP 黑名单了?
    lalalainchina
        53
    lalalainchina  
       2018-07-09 08:22:35 +08:00 via iPhone
    @huclengyue 换绑没有太大意义啊,WeChat out 倒是可以用了,可是我为什么不用 Skype...hangout.
    WastedTime
        54
    WastedTime  
       2018-07-09 11:27:44 +08:00
    @ranye iPhone QQ 那个是真的烦人,不让粘贴密码,我密码特么的是密码工具生成的一大串你让我手动敲?疯了
    yksoft1
        55
    yksoft1  
       2018-07-09 11:41:40 +08:00
    @lalalainchina 中国地区手机号确实必须辅助注册了。不过其实现在假身份资料(正反面+手持)资源一大堆吧,想养号的还是可以养。。
    outloudvi
        56
    outloudvi  
       2018-07-09 12:30:02 +08:00 via Android
    @Salvation 很多功能设计确实需要考虑相当多的东西。也确实,与使用密码管理器的人相比,没有安全意识的人要多得多。如果允许复制 /粘贴会出现安全问题的话,这方面肯定占大头。

    不过确实看不出有什么特别的安全问题……
    1. 无论怎样,密码都不会允许被简单地复制的吧……
    2. 这些安全意识薄弱的人,会去用 360 什么的吧(笑)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2687 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:45 · PVG 20:45 · LAX 04:45 · JFK 07:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.