如何破解支付宝自作聪明的登陆页面禁止粘贴密码的设置？

密码

粘贴

破解

乱码

56 条回复 2018-07-09 12:30:02 +08:00

1

zlink

2018-07-07 10:05:59 +08:00 via iPhone

5

自作聪明？

2

beastk

2018-07-07 10:08:06 +08:00 via iPhone

不能用手机扫码登录吗？

3

vyronlee

2018-07-07 10:10:22 +08:00 via iPhone

12

安装扩展 Don ’ t fuck with paste

4

hjc4869

2018-07-07 10:23:26 +08:00 via iPhone

随机密码没必要用那么长的，满足最低要求就够了

5

tangshiba

2018-07-07 10:35:12 +08:00 via Android

1

我都是谷歌浏览器记住密码不用输入的。

6

1OF7G

2018-07-07 10:36:43 +08:00 via iPhone

随机密码一律 6 位，不行就 8 位。因为有时候必须手打，比如在其它设备上输入。
密码本身的强度已经远不是薄弱点了，即使网站被脱裤密码 hash 被爆破，每个账号单独密码也不会波及其它账号。

7

kunluanbudang

2018-07-07 10:36:55 +08:00 via Android

无解

我用的是浏览器自动填充密码

8

cigarzh

2018-07-07 10:49:59 +08:00 via iPhone

我 100 位随机

9

wowo243

2018-07-07 11:04:46 +08:00 via Android

@cigarzh 卧槽，还可以这么长的嘛

10

des

2018-07-07 11:10:46 +08:00 via Android

@cigarzh 100 位没啥用，hash 之后也就那么长

11

cigarzh

2018-07-07 11:14:31 +08:00 via iPhone

@wowo243 反正密码器自己会填

12

bzw875

2018-07-07 11:49:10 +08:00

在开发者工具里粘贴嘛

13

Perry

2018-07-07 11:57:21 +08:00 via iPhone

我是这样的手机应用登陆可以粘贴所以网页版就扫描了

14

kslr

2018-07-07 11:57:44 +08:00 via Android

改 html

15

34C

2018-07-07 13:59:24 +08:00 via iPhone

自己写了一个小工具… 模拟键盘逐字输入，专门应对各种不让粘贴的地方…

16

Salvation

2018-07-07 14:37:19 +08:00

如果你觉得把密码改短会导致:导致安全性降低
那么支付宝支持复制粘贴密码不会导致:导致安全性降低吗?

什么是自作聪明呢?哪个银行的会允许你粘贴密码呢?

17

zeroDev

2018-07-07 14:44:27 +08:00 via Android

@Salvation 难道粘贴密码也会导致不安全？

18

tyfulcrum

2018-07-07 15:08:35 +08:00

@Salvation 银行都强制用户去用 IE only 的控件了，安全性当然爆棚（

19

silymore

2018-07-07 15:09:56 +08:00 via iPhone

@Salvation

20

silymore

2018-07-07 15:10:28 +08:00 via iPhone

密码不能复制只能粘贴

21

imn1

2018-07-07 15:15:18 +08:00

@zeroDev
总不能开支付宝后，全部其他 APP 都禁用读取粘贴板的权限吧？

22

ctsed

2018-07-07 15:44:08 +08:00 via Android

这种安全策略都是真金白银换来的经验

23

bigtwo

2018-07-07 15:53:40 +08:00

扫码或 keepass 自动输入

24

qmqy

2018-07-07 16:01:19 +08:00

@vyronlee #3 感谢感谢，你推荐的插件太好用了:P

25

outloudvi

2018-07-07 16:14:49 +08:00 via Android

@Salvation 个人认为不会。如果确有这种情况，还望 S 君不吝赐教。

另外，Troy Hunt （ haveibeenpwned 的作者）也认为禁止粘贴密码没有什么意义（ ref: https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/）。有的公司认为这能防止暴力攻击，但这可能不是不允许粘贴密码的借口……

26

outloudvi

2018-07-07 16:15:43 +08:00 via Android

修正链接： https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/

27

Salvation

2018-07-07 17:41:47 +08:00

@outloudvi 我个人的理解是这里有个困局就是便利性和安全性的平衡.我认为这里的设计也不是全无道理.说自作聪明似乎有点随意了.技术上是否有很大安全性帮助没有深入研究过.

28

lalalainchina

2018-07-07 19:45:32 +08:00 via iPhone

自作明的不支持密，不支持卡，不支持安卓模器，害得我....

29

lalalainchina

2018-07-07 19:46:23 +08:00 via iPhone

@lalalainchina 卸了程序把 QQ 微信跑在了

30

coolcoffee

2018-07-07 20:00:28 +08:00

如果是支付宝 pc 版本的话，我会直接打开开发者工具，点中 input，然后执行 $0.value="xxxx";

31

huclengyue

2018-07-07 20:34:58 +08:00 via Android

@lalalainchina 腾讯可以国外虚拟卡注册。。。

32

mingyun

2018-07-07 20:56:09 +08:00

@coolcoffee 好 6

33

des

2018-07-07 21:07:42 +08:00 via Android

1

@coolcoffee
我会点进 event listeners，然后 remove
我就是要粘贴，我他喵粘爆

34

lalalainchina

2018-07-07 22:33:37 +08:00 via iPhone

@huclengyue wechat 不行，

35

huclengyue

2018-07-07 23:14:18 +08:00 via Android

@lalalainchina 我是手机注册的后来解绑之后又绑定了 GV 似乎可以曲线救国

36

easylee

2018-07-07 23:39:37 +08:00 via Android

@bzw875 666

span class="no">37

ETiV

2018-07-08 00:04:57 +08:00

Sublime Text 新开一个 tab，粘贴密码进去；
全选密码，拖拽进密码输入框，登录。

38

ETiV

2018-07-08 00:06:12 +08:00

另外，微信支付那个才是变态…… Safari 安装控件，必须手打密码…我都快把形如乱码的密码记住了…

39

bucky

2018-07-08 00:17:56 +08:00

觉得这能提高安全的可能和阿里的产品经理一样，一拍脑袋一个点子就出来了

40

ranye

2018-07-08 00:34:14 +08:00

1

这个和安全还能稍微扯上点边，毕竟是浏览器环境。
iPhone 版 QQ 禁止粘贴密码才叫真傻逼

41

yksoft1

2018-07-08 01:05:08 +08:00

@lalalainchina 微信需要注册用的 IP 和手机号归属国（国外）归属省份（国内）一致，而且必须用这个地区的 IP 挂个十几天

42

Z1on

2018-07-08 03:04:48 +08:00 via Android

@ranye Android 版也同样傻逼

43

aice114

2018-07-08 08:10:33 +08:00 via Android

我还以为是防止复制了密码，然后后面打开了一个能获取剪贴板内容的软件把密码获取了？

44

F1024

2018-07-08 09:46:41 +08:00

粘贴密码更容易被盗吧.

45

creating2000

2018-07-08 10:00:46 +08:00 via iPhone

@ranye 确实很烦人

46

x18960

2018-07-08 10:05:11 +08:00 via Android

黑产大佬就喜欢你的想法

47

qq30545

2018-07-08 11:25:26 +08:00

键盘宏( 快捷键加密 )

48

mostkia

2018-07-08 13:17:36 +08:00

如果是电脑网页端，自己写个油猴子脚本吧（自己写安全一些），大体思路：指定域名激活脚本，脚本激活后为密码输入框绑定焦点触发事件，一旦发现你点击了输入框，就弹出 alert 辅助输入框，copy 密码到输入框内，点击确定，脚本通过你输入的密码，向输入框的 value 来导入密码。

49

outloudvi

2018-07-08 18:46:08 +08:00 via Android

@Salvation 安全性角度上确实有让暴力攻击变得更不容易实施了（尤其是再加上一个安全控件），但感觉这没法成为理由啊，这种设计让使用密码管理器的人怎么办……

50

Salvation

2018-07-08 22:57:04 +08:00

@outloudvi 有的时候很多东西真的不能考虑完善的.比如你想想如果你设计支付宝,你怎么设计?咋一想似乎很简单,但是实际情况是中国还有很多偏远地区的人才用上智能手机,对于他们,是不是要保证安全?

用密码管理器的人肯定有,但是是少数.而那些完全没有安全意识的人,才是多数...

所以如果一个产品的受众是全国用户,思考的路线是不一样的.很难简单拍板一个功能到底好不好.

51

lalalainchina

2018-07-09 08:05:59 +08:00 via iPhone

@yksoft1

52

lalalainchina

2018-07-09 08:21:31 +08:00 via iPhone

@yksoft1 ‘ Cell numbers from virtual operators cannot be used to register for Wechat ’ 这是原话...实体卡好像要让你找一个实名过的的人给你确认才能注册，可能是因为我用的开放代理，IP 黑名单了？

53

lalalainchina

2018-07-09 08:22:35 +08:00 via iPhone

@huclengyue 换绑没有太大意义啊，WeChat out 倒是可以用了，可是我为什么不用 Skype...hangout.

54

WastedTime

2018-07-09 11:27:44 +08:00

@ranye iPhone QQ 那个是真的烦人，不让粘贴密码，我密码特么的是密码工具生成的一大串你让我手动敲？疯了

55

yksoft1

2018-07-09 11:41:40 +08:00

@lalalainchina 中国地区手机号确实必须辅助注册了。不过其实现在假身份资料（正反面+手持）资源一大堆吧，想养号的还是可以养。。

56

outloudvi

2018-07-09 12:30:02 +08:00 via Android

@Salvation 很多功能设计确实需要考虑相当多的东西。也确实，与使用密码管理器的人相比，没有安全意识的人要多得多。如果允许复制 /粘贴会出现安全问题的话，这方面肯定占大头。

不过确实看不出有什么特别的安全问题……
1. 无论怎样，密码都不会允许被简单地复制的吧……
2. 这些安全意识薄弱的人，会去用 360 什么的吧（笑）