用 Java 6 搞不好都比資料庫裸奔要安全一點 XD

還在用 java 6 的也很多好嗎

好奇如果他們有過 PCI-DSS 怎麼會流出？如果沒過 PCI-DSS 為什麼可以存用戶的卡號？

不敢相信現在還有服務的資料庫是沒有鎖權限也沒有擋IP的…

竟然沒有主動告知用戶，我都是看新聞才知道... 太爛了

原來有人發英文版了 XD

Because the database was not password-protected, anyone on the internet could access the iRent customer data just by knowing its IP address.

這類基本錯誤真的不該再犯了。改個設定檔就可以減少負面新聞曝光。多好。

我不太確定拿 ssh private key 跟密碼來類比是不是合適就是 QQ

不過資安很難做到一百分，就看覺得什麼比較重要來取捨吧

Private key 我指的是 SSH private key；密碼跟 private key 是同等級的東西，但是我們都知道 private key 不應該以任何形式離開本地，但是大家卻可以接受密碼被放到雲端，這點令我很納悶。

他應該是指 SSH key 像是 id_rsa 這種類密碼功能的東東

同步 secret ket 的意思是？同步的應該只有加密過的密碼吧？

確實透過自動識別域名可以防止被釣到。不過自動產生的密碼一般人背不起來，只能開雲端同步；而一旦同步，就有被整盤端走的風險。各有利弊吧？

我覺得對安全性加分沒有爭議的是 MFA。

另外，如果可以接受同步密碼，那是否意味也可以接受同步 private key？我是沒辦法接受，所以每臺電腦的 key 都不一樣。

不需要其他功能的話 Google 的應該是夠用了，有用有差 XD

我在 android app 裡，密碼欄位也會自動填，這樣就夠了

Chrome 只能在 web 上用，也沒有分享功能

改用 Google 的，結案

公司付錢使用 1password

之前會用 LastPass 主要是因為有支援多平台(Linux)，像是 1password 一開始只有 Mac/iOS 而已

不過我看了這篇文章有去確認一下，至少我的帳號加密設定 iteration 是100,100次..

我自己是一直在用 1password，平常也沒確認所有細節，看來該好好在看一下各家給的資訊了。

另外剛好看到這篇 Not in a million years: It can take far less to crack a LastPass password1

看完想換掉 LastPass 了... 不知道換什麼比較好？大致 google 一下比較多人推薦的好像是 1password/Bitwarden

而且人背的起來的密碼一定有某些規則，有規則就容易被猜到(或是暴力破解...)

不是，你背了 apple 專屬的密碼，釣魚網站用 app1e.com 去騙你就上當了啊

反之如果遇到 chrome 打開網站居然沒有辦法預填密碼就要提高警覺了

我背的密碼也會隨 domain name 變化 😏

這種會被社交工程釣到…

讓 browser 看 domain 去自動填那種你背不起來的密碼，就不怕被釣

我都用背的