Re: [心得] 台版帳號安全性(誤會一場）

剛剛測試... 的確有辦法用舊裝置偷偷登入改過密碼的帳號 裝置A(輸入帳密登入前 PS:圖中帳號隨便打當例子) https://i.imgur.com/u6Qhqfm.png 裝置B(登入後但沒進遊戲) https://i.imgur.com/ibNY2Nh.jpg 裝置C(進入遊戲後) https://i.imgur.com/XR0vm0Q.jpg 更改密碼後 裝置A預設的舊帳密會無法登入 使用裝置D登入帳號 裝置C會被踢下線,(畫面正常但只要有連到伺服器的動作就會跳異常) 但是裝置B卻不會有事,在點一下畫面就進入遊戲!!! (不過必須保持在這個畫面) 也就是說上一個帳號持有者把畫面停留在裝置B 就能偷偷進入改過密碼+用新裝置遊玩的帳號 不過要保持畫面也蠻不容易的...有更新或重進遊戲都會變成裝置A情況 -- 問題是用新裝置登入後 不能把這個畫面的踢下線 B和C都驗證完 但是C會被踢下線 B不會 要有做連線的動作才會顯示被踢掉(進關 召喚 商店買賣 好友新增或刪除) 裝置D進入遊戲的那瞬間會把遊戲中的其他裝置踢掉 但B還沒進入遊戲所以不會被踢掉.反而裝置B進入遊戲會把遊玩中的裝置D給踢掉 除非再重登一次裝置D把裝置B給踢掉. 不過這段時間很可能會被賣卡 可以喔 D抽卡當下 資料傳給伺服器 B進入遊戲 連接伺服器 (會有D抽卡後的資料&紀錄B裝置) D在進行其他連線操作 (伺服器發現裝置不同顯示異常並回主畫面)
※ 批踢踢實業坊(ptt.cc), 來自: 118.150.208.77
※ 文章網址: https://www.ptt.cc/bbs/FATE_GO/M.1541152328.A.B51.html

推 SKTP: 廢話，檢查帳密在那個畫面之前阿== 11/02 17:56

推 rafale9108: 剛剛試完也再想B的可能，但刻意維持B來等盜帳號... 11/02 17:58

→ rafale9108: 還要猜中這個帳號剛好這時候是你想陷害的狀態... 11/02 17:58

推 orze04: B就已經驗證完了啊 11/02 17:59

推 PRACEMAKER: 你的跟上一篇矛盾耶 他可以同帳號登兩個不會被踢掉說 11/02 18:03

→ PRACEMAKER: 你是都安卓或都IOS登是嗎 11/02 18:03

推 a0975765320: 要一直維持在b畫面應該是不可能吧 11/02 18:06

→ a0975765320: 改版、手機關機就沒了 11/02 18:06

推 KiSeigi: 卡在登入完成和進入遊戲中間？ 11/02 18:11

推 KiSeigi: 真的這樣搞，兇手也夠執著的.....如果他忍不住登進去發現 11/02 18:13

→ KiSeigi: 沒有目標，應該就沒第二次機會了？放著會被原使用者擠掉 11/02 18:13

→ KiSeigi: ，出去也無法再通過密碼檢核 11/02 18:13

→ KiSeigi: 還是說用這方法進去的不會被擠？（一個安卓一個ios之類 11/02 18:14

→ KiSeigi: 的） 11/02 18:14

→ KiSeigi: 原來真的會被擠 11/02 18:15

→ WhiteScars: 如果是用模擬器說不定可以？ 11/02 19:12

→ methodho: B帳登入就登入啊，登入之後下一次跟server溝通時就會被 11/02 19:16

→ methodho: 踢了，下一次的溝通點看fgo設計，通常是抽卡、刪卡、開 11/02 19:16

→ methodho: 關卡、取好友資訊等重要的動作 11/02 19:16

→ sm02188612: 要看怎麼設計的 也有可能登入後做動作也不會被踢 要 11/02 19:43

→ sm02188612: 測看看 11/02 19:43

→ sm02188612: 還是文中括號寫要保持在這畫面就是登入後不能繼續動作 11/02 19:48

→ sm02188612: ? 不過，照C情況推估，B繼續動作而被踢的機率很大 11/02 19:48

推 methodho: Fgo既然支援多台機器共用帳號，防資料後蓋前是最基本的 11/02 20:16

→ methodho: ，不然大家都來洗抽卡了，所以合理推測B帳下次跟server 11/02 20:16

→ methodho: 溝通時會因資料過時被踢回登入，登入時會因為密碼錯誤 11/02 20:16

→ methodho: 而無法登入 11/02 20:16

→ rafale9108: 所以B和C裝置都可以停在登入後的首頁，但一有連接伺服 11/02 21:02

→ rafale9108: 器的動作就會被踢掉了 11/02 21:02

→ rafale9108: 這樣應該不可能有人可以再改密碼後用原登入裝置再登入 11/02 21:03

→ rafale9108: 了 11/02 21:03

→ rafale9108: 抱歉！沒看到推文，居然是B可以把D踢掉 11/02 21:04

→ rafale9108: 但維持狀態B實在難度太高了吧，不能關app不能閃退 11/02 21:06

→ sm02188612: 所以有測過B的情況能進行相關操作嗎 刷關 賣卡等 11/02 22:07

→ KiSeigi: B先卡著 D進去操作(抽卡)之類的 B把D踢掉 B應該會直接在D 11/02 22:25

→ KiSeigi: 的世界線(不然會有洗抽卡問題) 應該也能繼續抽下去? 11/02 22:26

→ sm02188612: 用世界線來比喻反而複雜而且奇怪。現在是每做牽涉到 11/02 22:46

→ sm02188612: 伺服器端資料的操作時，都要跟伺服器驗一次身份資訊， 11/02 22:46

→ sm02188612: 原本看C的情況以為驗的資訊中有牽涉到用密碼所形成的 11/02 22:47

→ sm02188612: 資訊，沒想到 11/02 22:47

→ sm02188612: 覺得如果b情況能正常操作的話，極可能存在安全疑慮， 11/02 22:55

→ sm02188612: 雖然一般認為要卡在那畫面是不太可能，但可以把卡在 11/02 22:55

→ sm02188612: 那畫面想成一種資料狀態，而那資料有可能是能被保存下 11/02 22:55

→ sm02188612: 來的且復原的，畢竟沒人會認為那些科技號是像一般流程 11/02 22:55

→ sm02188612: 這樣開遊戲來刷帳號的吧 11/02 22:55

→ KiSeigi: 所以B是取得連線的權限但沒真的連到伺服器的資料? 11/02 23:46

→ KiSeigi: 資料部分應該不會被復原? 畢竟資料是存在營運方，手機內 11/02 23:46

→ KiSeigi: 的和營運不同應該會被置換成營運的(避免玩家修改造成不公 11/02 23:47

→ sm02188612: 如果這篇測試為真，那B跟D是沒兩樣的，即只要取得B卡 11/02 23:51

→ sm02188612: 在那畫面的狀態，就能無視密碼新舊而正常使用帳號 11/02 23:51

→ KiSeigi: 但如果D又重登會把B擠掉 B想在重登會因為密碼錯誤進不了 11/02 23:54

→ sm02188612: 但就像上面提的那狀態其實也只是一種電子資訊，只要他 11/02 23:57

→ sm02188612: 曾製造出這資訊狀態，那就有可能可以再造還原，不過沒 11/02 23:57

→ sm02188612: 實際研究過fgo的封包 只能說有機會 11/02 23:57

→ KiSeigi: 真的這樣就滿可怕的 不管改不改密碼都能跳過帳密驗證 11/02 23:59