小米在国内的拥趸也不少,看完iCloud和华为也来看看小米。
优点:
1、提供二次验证。
使用的是小米令牌,首次登陆需要输入动态口令。如果勾选“这是我的私人设备”后,以后登陆就无需二次验证。
2、帐号策略较强。
登陆10次错误要输入验证码,虽然比iCloud弱,至少不会被暴破。目前注册,密码要求8位强密码,以前的老用户还可以用6位,估计是被数据库泄露事件吓得,但是还不够,应该让老用户强制升级密码。
缺点:
1、不记录登陆信息。
与iCloud和华为一样,不记录任何登陆信息,也没有异常登陆提醒。
2、产品更新混乱。
有的功能这个版本有突然下个版本就没了,非常不稳定,特别是与iCloud相比。
3、服务器安全不行。
小米的库被拖也是众所周知的,服务器的安全没了就什么都不用提了。
4、产品安全性bug较多。
各种绕过锁屏、绕过二次验证、进内网xxx。
取证:
1、如果没有开启二次验证,直接帐号密码登陆就行了,也可以用小米手机同步。
2、如果cookies中存在 step2Token 项则是信任设备,可以用此cookies绕过二次验证。
3、未退出的cookies可直接复用登陆web云服务,无需帐号密码,而且可以持续登陆。
发表评论