今天PayPal被黑了 [复制链接]

发表于 2021-7-4 00:47 |显示全部楼层

此文章由 gifox 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gifox 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 gifox 于 2021-7-3 23:57 编辑

“至此，我再也不相信PayPal了，”

....楼主, paypal非常安全的. 问题是楼主使用paypal的方法很不安全.

你可以有世界上最牢固的保险箱, 保险箱有3把锁,你只上一把, 钥匙还随便放.丢了钱不能怪保险箱啊.

没开通2FA, 如果你不再使用paypal, 而改用任何一种没有开通2FA的支付工具. 那只会让你处以一个更不安全的地步.

你想更狠一点可以加多一步,要ubikey之类的物理密匙才可以操作.缺点当然是你别丢了物理密匙

至于paypal密码如何被猜到或者丢的,根本不是paypal的问题.而是楼主的问题.

我不是很有信心楼主现在了解清楚问题在哪里.

发表于 2021-7-4 00:49 |显示全部楼层

此文章由 gifox 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gifox 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 gifox 于 2021-7-3 23:54 编辑

lummar 发表于 2021-7-1 10:59
那估计需要密码同步工具。但是你如何知道那些工具可信？
所以我的密码都是自己管理，忘记了就重置好了。 ...

简单来说, 这个不是高科技.加密这件事情基本主流几款都是工业级标准.

这种密码管理软件,如果是银行之类的机构,上一套要以百万计的成本.不安全能行么.而银行采用的那些其实底层逻辑和普通密码管理工具类似的, 多出了大量DR, HA, intergration.monitoring , fault detection 之类你用不着的东西.

比野路子安全很多很多很多倍.

lummar

银靴族

发表于 2021-7-4 11:00 |显示全部楼层

此文章由 lummar 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 lummar 所有！转贴必须注明作者、出处和本声明，并保持内容完整

gifox 发表于 2021-7-3 23:49
简单来说, 这个不是高科技.加密这件事情基本主流几款都是工业级标准.

这种密码管理软件,如果是银行之类 ...

呃，我们在讨论个人用的密码管理软件。

如果是银行，只要它还存着（用户的）密码，就说明它的IT管理水平大概还在30年前。

至于密码管理软件，不管它们有多贵，我根本就不信任。因为它们的存在违反了设计密码这个访问控制工具的初衷：有且只有特定的人知道。密码管理软件首先就有窃密的动机，这个毋庸置疑。即使软件供应商完全可信，鉴于密码管理软件需要在本地存储密码，不管有没有加密存储，仍无法排除由于漏洞泄密可能性。更不用说有人会把（主）密码写在纸上然后贴在显示器上或者压在键盘下面。

更合理的解决方案是基于PKI/非对称密钥体系的智能卡。身份验证方存用户的公钥，用户的私钥存在智能卡上且无法提取，只能用来加解密消息。用户只需要记住一个简单密码用来解锁智能卡，三次尝试失败会导致卡被锁住。缺点就是普及度不高，可能有各种兼容性问题，最大的问题就是现阶段成本太高。举个例子Yubikey 5就在50刀往上，相当一部分人估计不愿意花那么多钱。

发表于 2021-7-4 11:10 来自手机 |显示全部楼层

此文章由 gifox 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gifox 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 gifox 于 2021-7-4 10:33 编辑

lummar 发表于 2021-7-4 10:00
呃，我们在讨论个人用的密码管理软件。

如果是银行，只要它还存着（用户的）密码，就说明它的IT管理水平 ...

澳大利亚4大银行都有这种软件部署了。500强绝大部分企业部署了，如果不是全部。很多个国家的政府部门也部署很多这些软件。如果你正为澳大利亚其中一家超大型企业服务，非常可能你们也在用。不妨和自己公司的Admin沟通一下，不要靠想象。

他们有大量的服务器，router，switch，每个都有大量的用户，比如银行的DBA，system admin，network admin。这些都需要密码的。还有大量自动script也是需要密码的，一个典型例子就是运行Anisble script。
一个大型企业数以万个数十万个密码需要维护是挺正常的

主密码保护很好处理的，2FA一开就好。很多Device，你直接登入的话，device本身是不支持2FA的。2nd authentication 可以是智能卡，也可以说普通authenticator软件。普通authenticator软件不要钱。

而且看你的设置，密码可以做到不能存于本地的。

现在开始流行的SAML和oauth 设计概念和密码管理软件有共通点地方。都是都是依靠主密码而不需要知道具体网页的密码然后强化主密码保护。但是不是每个网页都引入了SAML，所以密码管理软件依然有其价值

harleyz

银靴族

发表于 2021-7-4 12:14 |显示全部楼层

此文章由 harleyz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 harleyz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

Paypal不支持google 的2Auth有点烦，不高兴另外再装一个

automationtest

头像被屏蔽

禁止发言

发表于 2021-7-4 13:39 来自手机 |显示全部楼层

此文章由 automationtest 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 automationtest 所有！转贴必须注明作者、出处和本声明，并保持内容完整

harleyz 发表于 2021-7-4 11:14
Paypal不支持google 的2Auth有点烦，不高兴另外再装一个

google Authenticator支持，2auth是什么玩意？

发表于 2021-7-4 14:14 来自手机 |显示全部楼层

此文章由多味花生原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者多味花生所有！转贴必须注明作者、出处和本声明，并保持内容完整

automationtest 发表于 2021-7-4 12:09
google Authenticator支持，2auth是什么玩意？

google的验证app

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？注册

rouw

草鞋族

发表于 2021-7-4 19:43 |显示全部楼层

此文章由 rouw 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 rouw 所有！转贴必须注明作者、出处和本声明，并保持内容完整

用2FA 要安全很多

automationtest

头像被屏蔽

禁止发言

发表于 2021-7-4 22:32 来自手机 |显示全部楼层

多味花生发表于 2021-7-4 13:14
google的验证app

这个PayPal是支持的

发表于 2021-7-4 23:55 |显示全部楼层

此文章由 gifox 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gifox 所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2021-7-4 13:14
google的验证app

paypal官网用了2个app做例子. 一个Microsoft authenticator, 另外一个就是google authenticator了.

你认为“不支持”原因和解释一下么? 有报错信息?

jerryclark

金靴族

发表于 2021-7-5 15:39 |显示全部楼层

此文章由 jerryclark 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 jerryclark 所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2021-7-1 08:18
我很多密码都是一样的，但是密码太多记不住啊

用密码管理器。

‎( ͡° ͜ʖ ͡°)

future2521

水晶靴族

发表于 2021-7-7 14:34 |显示全部楼层

此文章由 future2521 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 future2521 所有！转贴必须注明作者、出处和本声明，并保持内容完整

harleyz 发表于 2021-7-4 11:14
Paypal不支持google 的2Auth有点烦，不高兴另外再装一个

支持，刚绑的

我愛你中國，親愛的母親。我為你流淚，也為你自豪！

半桶水

发表于 2021-7-7 15:37 |显示全部楼层

此文章由半桶水原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者半桶水所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2021-7-2 09:50
如果不关联银行账号怎么才能转钱到PayPal呢？

我的意思是不要直接自动转账，我是看PayPal里的钱低到一定限度时才从银行账号转一定数目的钱到PayPal账号里，主动权掌握在自己手里，PayPal里只保留有限的金额。

qingkaonima

布鞋族

发表于 2021-7-7 16:30 |显示全部楼层

此文章由 qingkaonima 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 qingkaonima 所有！转贴必须注明作者、出处和本声明，并保持内容完整

之前在us，注册的是us的PayPal，现在来澳洲，PayPal没办法改居住地，要我销号重开。
我现在还有89美元的退款没办法接收，因为提供不了美国身份信息。真是日狗了。

发表于 2021-7-15 01:09 来自手机 |显示全部楼层

此文章由多味花生原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者多味花生所有！转贴必须注明作者、出处和本声明，并保持内容完整

半桶水发表于 2021-7-2 09:17
永远不要在网购平台上关联银行账号，我一直是手动银行转账到PayPal或支付宝的，不要嫌麻烦。 ...

麻烦请教一下，您是如何在不关联银行账户的情况下把钱转到PayPal的呢？我现在想网购，但是又不想关联银行账户，找了很久都没找到如何转钱

半桶水

发表于 2021-7-15 10:44 |显示全部楼层

此文章由半桶水原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者半桶水所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2021-7-15 00:09
麻烦请教一下，您是如何在不关联银行账户的情况下把钱转到PayPal的呢？我现在想网购，但是又不想关联银行 ...

我不知道你“关联”二字的意思。是不是你设定关联银行账户在PayPal内的钱少于一定的金额后PayPal自动从你的银行账号里转账事先认可的金额？如果你关联了银行账号，但每次都必须由你手动从银行账号转账到PayPal账号，那有什么风险？即使你的PayPal账号被盗取了，那也只不过是PayPal里有限的金额而已。

半桶水

发表于 2021-7-15 10:49 |显示全部楼层

此文章由半桶水原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者半桶水所有！转贴必须注明作者、出处和本声明，并保持内容完整

qingkaonima 发表于 2021-7-7 15:30
之前在us，注册的是us的PayPal，现在来澳洲，PayPal没办法改居住地，要我销号重开。
我现在还有89美元的退 ...

你试试用你的美国PayPal账户支付澳洲eBay上的邮购物品。

发表于 2021-7-15 11:00 来自手机 |显示全部楼层

此文章由多味花生原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者多味花生所有！转贴必须注明作者、出处和本声明，并保持内容完整

半桶水发表于 2021-7-15 09:14
我不知道你“关联”二字的意思。是不是你设定关联银行账户在PayPal内的钱少于一定的金额后PayPal自动从你 ...

请不要误会，我想请教的是如何操作才能把钱转到PayPal，在没有添加银行账户的情况下

obscured

草鞋族

发表于 2021-7-15 14:25 |显示全部楼层

此文章由 obscured 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 obscured 所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2021-7-15 10:00
请不要误会，我想请教的是如何操作才能把钱转到PayPal，在没有添加银行账户的情况下 ...

去邮局买一张prepaid mastercard。 Paypal连这张卡。需要时往里边充钱就好了。

发表于 2021-7-15 14:27 来自手机 |显示全部楼层

此文章由多味花生原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者多味花生所有！转贴必须注明作者、出处和本声明，并保持内容完整

obscured 发表于 2021-7-15 12:55
去邮局买一张prepaid mastercard。 Paypal连这张卡。需要时往里边充钱就好了。 ...

多谢????

WayneOZ

金靴族

发表于 2021-7-18 15:32 来自手机 |显示全部楼层

此文章由 WayneOZ 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 WayneOZ 所有！转贴必须注明作者、出处和本声明，并保持内容完整

这种事情要靠平时的预防。

我自己所有的网上的账户，包括邮箱、银行、网站等各种应用，大约共有几百个。这几百个账户的密码没有任何两个是一样的。它们全部由程序随机生成，且等效复杂度一般都在100位以上(注意这个复杂度不是密码的位数，而是entropy bits，可以理解为大约等效于一个多少位的随机对称密钥)并且存放这些密码的数据库是被高强度加密存放的，只有我能访问。所以如果平常你问我某个账户的密码，我自己也是不知道的，也不可能记得住，我只知道如何找到它。

基本上，我从来不会担心自己的密码被盗。第一这几乎不可能发生，只存在理论上的可能性。第二就算某个密码丢了，我也能轻松找回(因为盗号者并不能使用这个密码去访问我其他的邮箱等账户，自然也无法重置)且不会对其他任何一个账户产生影响。

https://www.speedtest.net/result/15802148264.png

mangoibaby

铜靴族

发表于 2022-6-19 12:24 |显示全部楼层

此文章由 mangoibaby 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 mangoibaby 所有！转贴必须注明作者、出处和本声明，并保持内容完整

亲爱的我得paypal 也被黑了也收到了你那个邮箱修改邮件，然后电话修改得邮件我是今年6月份我今天翻看邮件才看见我想问你下 paypal 得客服电话是多少我也登录不进去。。。。郁闷

就耐这个头型！~

发表于 2022-6-19 14:33 |显示全部楼层

此文章由多味花生原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者多味花生所有！转贴必须注明作者、出处和本声明，并保持内容完整

mangoibaby 发表于 2022-6-19 10:54
亲爱的我得paypal 也被黑了也收到了你那个邮箱修改邮件，然后电话修改得邮件我是今年6月份我今 ...

赶紧上PayPal的网站找，有点麻烦，但是还是可以找到的，赶紧打电话，不麻烦，会问你几个安全问题，然后就会帮你恢复账户

mangoibaby

铜靴族

发表于 2022-6-19 15:22 |显示全部楼层

此文章由 mangoibaby 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 mangoibaby 所有！转贴必须注明作者、出处和本声明，并保持内容完整

多味花生发表于 2022-6-19 13:33
赶紧上PayPal的网站找，有点麻烦，但是还是可以找到的，赶紧打电话，不麻烦，会问你几个安全问题，然后就 ...

好像周末人家不上班。。明天打

就耐这个头型！~

xfelix

木屐族

发表于 2022-6-19 18:01 来自手机 |显示全部楼层

此文章由 xfelix 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 xfelix 所有！转贴必须注明作者、出处和本声明，并保持内容完整

PayPal的安全逻辑也是蛮扯的，竟然还有人用我其中一个gmail邮箱注册paypal新加坡账号，竟然不验证邮箱归属权也能使用。于是那个新加坡人的paypal交易我都看得见。
我以为是某种新式攻击方式也就没有理睬，但是paypal还时不时发广告到这个邮箱，我主动联系paypal，他们竟然跟我说没事。

Rainstorm

金靴族

发表于 2022-6-19 19:06 |显示全部楼层

此文章由 Rainstorm 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 Rainstorm 所有！转贴必须注明作者、出处和本声明，并保持内容完整

吓得我连忙改了。

chenjincui

头像被屏蔽

禁止访问

发表于 2022-6-19 20:36 |显示全部楼层

此文章由 chenjincui 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 chenjincui 所有！转贴必须注明作者、出处和本声明，并保持内容完整

paypal最好加两步验证

噴火小野豬