ประสบการณ์ของผู้ที่รายงานช่องโหว่ให้ Facebook และได้รับรางวัล $30K เพื่อเดารหัส 6 หลักที่ได้รับจากฟังก์ชันค้นหารหัสผ่านบนมือถือ เขาได้ลองใส่ตัวเลข 200 ครั้งต่อ IP จาก IP นับพันภายใน 10 นาที รวมเป็นการลองตัวเลขทั้งหมด 200,000 ครั้งเพื่อเจาะรหัสผ่าน
แม้ว่าบริการส่วนใหญ่จะมีการใช้ Rate Limiting แต่กรณีนี้สามารถหลบเลี่ยงได้ด้วยการใช้หลาย IP
หากเรื่องนี้ไม่ได้ถูกป้องกันไว้จริง เขาบอกว่าน่าจะสามารถแฮ็กบัญชีไหนก็ได้ด้วย IP 5,000 ตัว (ค่าใช้จ่ายบน Amazon ราว $150)
2 ความคิดเห็น
ถ้าใส่รหัสยืนยันผิดสักประมาณ 5 ครั้งแล้วทำให้รหัสยืนยันนั้นถูกยกเลิกและต้องออกใหม่ ก็น่าจะแก้ได้แล้วล่ะ...(ฝั่งเราก็คงต้องแก้ด้วย)
อย่างที่บทความระบุไว้ วิธีการกู้คืนรหัสผ่านแบบคลิกลิงก์ที่ได้รับทางอีเมลปลอดภัยกว่า