作者mazinkisa (kisa是只能走专用道和慢s)
看板PlayStation
标题[闲聊] PS app可以用指纹认证了,好佩服SONY安
时间Tue Apr 7 08:26:38 2026
早上想要做点数储值
开了安卓系统的PS app完成帐号和密码输入登录後
app马上问要不要开通快速登录
当下觉得没有什麽就点同意
并且配合app做指纹认证
速度超级快,猜大概是连接手机的指纹识别
恰巧自己用的是sony 手机所以也没觉得怎样
心想sony总算跟上潮流了
总算知道怎麽做能让用户更安全更便利
原本是马上就想储值点数的
可心想若换手机app会面临重新安装问题
那认证不就搞屁了
新安装的app 拿来的指纹辨识连结啊!
所以就去检查帐号安全设定
结果不检查还会觉得SONY真有为客户着想
检查後才发现开通指纹或脸孔辨识
SONY居然就马上关闭密码和二次认证安全设定
而且是从系统层面官网设定就关闭的
厉害啊!
脸孔和指纹辨识是相对安全没错
但手机遗失或换新机的时候呢?
好佩服SONY安全意识
太猛了!
补充:
刚登入PS5发现更令人震惊的是
被更变得不只登入资讯
连付费输入密码也被预设关闭!
SONY真是绝了! 厉害!
就不知道还有什麽被预设关闭的!
-----
Sent from JPTT on my Sony XQ-DC72.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 42.79.230.247 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PlayStation/M.1775521602.A.4F1.html
1F:推 magicrex: 所以我手滑开通後又把它给关了... 04/07 08:30
2F:→ herro760920: 索尼的资安连死忠的都怕 04/07 08:46
3F:推 OROCHI97: 资安只服苹果04/07 08:56
4F:推 deray: 什麽是指纹辨识?04/07 09:43
5F:→ MrDisgrace: 砍手挖眼球盗帐号 电影都有演(X04/07 10:01
6F:→ lolicat: 简单来说开了指纹辨识 索尼主动帮你把二阶认证关掉了?天04/07 10:14
7F:→ lolicat: 才啊04/07 10:14
8F:推 bala045: passkey的防护本来就比较安全吧04/07 10:28
9F:推 mosquito147: 虽然passkey跟2FA可以共存 但逻辑上就是锁上加锁04/07 11:10
10F:→ mosquito147: 原本设计的用意就是用更安全的锁去替换原本的锁04/07 11:10
但显然SONY 不这样想,它想将帐号安全性问题甩锅给用户和PASSKEY系统商,嘴脸啊!
※ 编辑: mazinkisa (42.79.230.247 台湾), 04/07/2026 11:12:49
11F:→ mosquito147: 不过sony直接让两者不共存的设计也不好 04/07 11:13
12F:→ mosquito147: 至少没强迫passkey 留在两阶段是没问题的 04/07 11:14
13F:推 koshiroh2000: 我用二阶段就够了 指纹这种太麻烦 04/07 11:25
14F:推 EXGG: 太慢了吧 04/07 12:11
15F:推 adamcha: 可以建立多个passkey啊 Windows自己也可以建立安全密钥 04/07 12:39
16F:→ adamcha: 手机遗失的话 还有电脑(windows)可以使用 04/07 12:40
17F:→ adamcha: Sony也没强迫一定要使用passkey 不高兴就换回来就好 04/07 12:41
18F:推 kawazakiz2: 指纹、两阶段都没差,不要用google authenticator就好 04/07 12:57
19F:→ kawazakiz2: Switch有一关就是要用这个的认证码 04/07 12:58
20F:→ kawazakiz2: 我不管怎麽输入都是错的,夭寿难用 04/07 12:58
21F:→ kawazakiz2: 还好还能用QR CODE登入,後来又加了指纹和眼球认证 04/07 12:59
22F:→ kawazakiz2: 不然我的任天堂ID真的要废掉了 04/07 13:00
23F:推 j3307002: 原来任天堂这麽麻烦 04/07 13:03
24F:→ j3307002: 所谓的认证其实最後都是搞到自己 04/07 13:04
25F:→ bala045: 两阶段有可能是钓鱼 其实没有passkey安全 04/07 13:12
26F:推 WLR: 我2阶段验证用Authy,没用Google的 04/07 13:29
27F:推 kawazakiz2: 任天堂就限定要Google,我好像只有开通帐号那次有过 04/07 13:46
28F:→ kawazakiz2: 但也是搞了好久才过 04/07 13:46
29F:推 ThisisLongID: 我任社绑Google的是没什麽问题 但之前忘记在哪边看 04/07 13:58
30F:→ ThisisLongID: 到Google的比较不好 所以能选的都移去微软的 04/07 13:59
31F:推 pSeRiC: 两阶段验证大推 Ente Auth 04/07 14:16
32F:推 adamcha: Google Auth的问题是它会把金钥备份到云端 万一泄漏就... 04/07 14:16
33F:推 Xenogamer: Authy也是云端备份不是吗? 04/07 14:20
34F:→ Xenogamer: 我自己是用Authy 介面感觉比较好用 04/07 14:21
35F:推 deray: 资安我只服索尼 命名我只服微软 04/07 14:23
36F:推 dreamwing11: 这设计不是很正常吗 看不出问题在哪? 04/07 17:33
37F:→ dreamwing11: 几乎所有APP不是开通快速验证就不用密码验证了 04/07 17:33
想像一下手机不在身边! 就问你怎麽登入?
在想像一下刚更换不同厂牌手机时,你怎麽核对指纹或脸孔辨识资讯?
现在可没规定各家的隐私安全档案纪录必须是相同格式
这时候发生帐户被盗取或盗用问题
请问安全责人是你保护不周还是SONY资安问题
要知道这种问题世界时你想客诉还有没有的问题!
38F:推 e446582284: 2阶段会泄漏,都是用户点到钓鱼网站,那个偏使用者的04/07 17:50
39F:→ e446582284: 问题防不了04/07 17:50
※ 编辑: mazinkisa (125.231.138.107 台湾), 04/07/2026 18:03:55
40F:推 loveyourself: 主机不是都有复原码?04/07 18:16
41F:推 bala045: passkey 就能防钓鱼啦04/07 18:26
※ 编辑: mazinkisa (125.231.138.107 台湾), 04/07/2026 18:52:22
42F:推 laipenguin: 老任哪有限定google, 我用authy好好的没问题04/07 19:22
43F:推 laipenguin: 以前避开google用authy主要是因为换机器时很麻烦,现04/07 19:27
44F:→ laipenguin: 在应该都差不多一样方便了04/07 19:27
45F:→ laipenguin: 换机器时不要太快处理掉旧手机的资料才是比较保险的04/07 19:27
46F:推 iamtc769: SONY资安 有口皆悲04/07 19:44
47F:→ dreamwing11: 官网就有写他的机制是怎样 不是你说的手机丢了就完了04/07 20:13
48F:→ dreamwing11: 就像上面有人说得Passkey跟2FA都是有优点跟缺点04/07 20:17
49F:→ dreamwing11: 就看你认同哪方的优点比较多选哪边而已04/07 20:17
50F:→ dreamwing11: Passkey根本就没你喷的那麽一无事处04/07 20:18
51F:→ dreamwing11: 事实上你理解他的机制做好备援 他是比2FA还安全可靠04/07 20:27
有人说PASSKEY一无是处吗?大家说的都是两套系统不能并存只单用一种的缺点
有谁说那种好,那种就不好?
大大能有这样理解也是绝了
※ 编辑: mazinkisa (125.231.138.107 台湾), 04/07/2026 21:05:21
52F:推 OGoTTe: Passkey本来就是取代密码用的,怕手机丢就继续用二阶段04/07 21:49
53F:嘘 Phater: 手机不在身边就不能做 passkey,啊你手机不在2FA也做不了04/08 00:19
54F:→ Phater: 啊04/08 00:19
55F:→ ronga: 资安来说 这是正确的04/08 00:19
56F:→ ronga: 未来各大平台目标就一键登入 大家都不要记密码不要二阶段04/08 00:20
57F:→ ronga: 现在只是在过渡期 原PO可能对这一块不了解,才会这样批评04/08 00:21
58F:推 ronga: 目前Passkey就是比2阶段安全,至於未来就不晓得。人总是会04/08 00:28
59F:→ ronga: 想办法找到他不安全的地方04/08 00:29
60F:→ Gouda: 资安用密码这件事情大概这些老一点的人永远改不了观念吧04/08 00:55
61F:→ Gouda: 否则世界上就不会一直有被盗的事了04/08 00:55
62F:推 hoos891405: 密码最危险的是你其中一个外泄/被钓鱼,有可能各大平04/08 03:32
63F:→ hoos891405: 台都外泄04/08 03:32
这样啊
可怎麽觉得你说的是一种手机使用习惯
而不是电脑或其他3C产品的使用习惯
当然也许手机就是未来资讯处理的主力吧!
事事离不开手机,手机为王的资安时代
原来说落伍了跟不上时代
理解
※ 编辑: mazinkisa (125.231.138.107 台湾), 04/08/2026 03:41:56
64F:→ laipenguin: 你误会了 就算有2FA防卫,密码外泄依然是很难防的04/08 03:51
65F:→ laipenguin: 所以现在有在推行无密码登入这种事情 跟使用习惯无关04/08 03:52
66F:→ laipenguin: 毕竟...你怎麽防骇客直接攻击公司的伺服器漏洞?04/08 03:52
是没错
问题是passkey 本身原始设计是建立在必须有两套以上私钥建构装置基础,防止单一装置出
目前sony 只做半套
更没有在建立过程通知你会有原有机制将被取消
也没通知你装置唯一性(没有第二套情况下)
更忽略建立passkey过程给的恢复码手机使用者不会手记,会习惯手机截图和上传云端的问?
(这样更危险,对吧!)
passkey看似解决sony 资安问题
实际是更多是换成是用户需承担的责任问题
这对错很难说
但可以确定用户装置出问题,届时就好玩了!
sony将安全设计的责任分配被过度推向使用者端,但产品没有提供足够的补偿机制(redundancy & recovery UX)。
※ 编辑: mazinkisa (125.231.138.107 台湾), 04/08/2026 04:59:27
67F:推 ronga: 你说passkey没备份的问题 2FA也会阿。恢复码没有抄下来 04/08 08:59
68F:→ ronga: authenticator没开云端 你手机会了掉了 不也啥都没了 04/08 09:00
69F:→ ronga: 为了在登入部分 业界就是在推passkey ,ios你可以透过钥匙 04/08 09:02
70F:→ ronga: 圈备份 android可以存在Google帐号中。如果你觉得还不保险 04/08 09:03
71F:→ ronga: 至少多装置都要登入。以前authenticator没云端我也是多装置 04/08 09:03
72F:→ ronga: 都有登入备份。 04/08 09:03
73F:推 ronga: 至於你把恢复码截图上传云端要担的风险就自己承担罗@@ 04/08 09:06
74F:→ ronga: 懒了话至少放入加密记事本里面,比较安全 04/08 09:07
75F:嘘 kuku321: passkey明明就有一堆密码管理服务可以存 google也能存 04/08 09:13
76F:→ kuku321: 实际上passkey就是比2FA更安全更有即时便利性 04/08 09:13
77F:→ kuku321: 而且为了资安 打开passkey後把传统p/w或2FA登入途径关掉 04/08 09:13
78F:→ kuku321: 才是正确的 不然你开passkey 结果安全性更低的老路还是打 04/08 09:14
79F:→ kuku321: 开状态 更容易被盗用的风险并没降低 你passkey开心酸的? 04/08 09:15
80F:推 ronga: FIDO联盟目标就是要密码登入彻底消失在历史中。Apple、Goog 04/08 09:18
81F:→ ronga: le、Microsoft、Meta都在里面。只能说迟早要习惯 04/08 09:19
82F:→ ronga: 目前大多平台除了微软走比较前面,可以让用户选择删除密码 04/08 09:21
83F:→ ronga: 外,其他还只是当作一种登入方式,但未来一定会陆续跟微软 04/08 09:21
84F:→ ronga: 做法相同,让用户彻底删除密码 04/08 09:22
85F:→ kuku321: 更好笑的是 对 云端也是有被盗风险 但问题是你不信SONY就 04/08 09:28
86F:→ kuku321: 算了 连加密服务商的google或微软都不信 那我就问你还能 04/08 09:28
87F:→ kuku321: 信谁 信自己的手机? 如果这麽相信自己还会被钓鱼吗? 04/08 09:29
88F:→ kuku321: 上面有人提到的google比较不好 建议转微软服务的 那是好 04/08 09:38
89F:→ kuku321: 几年前的说法 因为那时google认证器是真的只存在手机上 04/08 09:38
90F:→ kuku321: 没办法云端备份 换手机时转移麻烦 有人先把手机格式化拿 04/08 09:38
91F:→ kuku321: 去卖二手後发现无法在新手机用等等很多问题 才推荐微软或 04/08 09:39
92F:→ kuku321: authy等其他验证器 後来google也对应云端备份後 如果你是 04/08 09:39
93F:→ kuku321: 安卓手机 直接一个google帐号把所有服务打包其实更方便 04/08 09:40
94F:→ kuku321: 反之如果你用苹果手机 就直接用apple的验证服务 同理 04/08 09:40
95F:推 j3307002: 我的经验就是这些验证机制最後都是整到玩家自己 04/08 09:42
96F:→ j3307002: 以前我的YAHOO信箱就是烂信箱逼我改密码忘记就没 04/08 09:43
97F:→ j3307002: 後来那个烂GMAIL还逼我改一次密码还好後来没有 04/08 09:43
98F:→ j3307002: 怎麽样你的帐号最安全?等你忘记密码无法登入最安全了XD 04/08 09:43
99F:→ j3307002: 一个网站或一个APP,但凡要你搞复杂密码的都是麻烦 04/08 09:44
100F:→ j3307002: 最後你都是忘记密码 04/08 09:45
101F:推 yeary2k: 他会把二阶段关掉 因此我马上改回来 04/08 09:45
102F:推 ronga: 复杂密码用户会忘,不同平台密码相同容易被骇,建立不同密 04/08 09:45
103F:→ j3307002: 你说你能记录密码?你一段时间没登入又要你重输入 04/08 09:45
104F:→ ronga: 码规则容易被破解,才会有後来的二阶段更有未来的passkeys 04/08 09:45
105F:→ j3307002: 然後忘记又没有了XD 04/08 09:46
106F:→ ronga: 二阶段会被钓鱼网站拦截 不存在绝对安全。目前就passkeys 04/08 09:46
107F:→ ronga: 最安全 04/08 09:46
108F:→ j3307002: 二阶段又要看情况了,以前我用大陆迅雷百度网盘 04/08 09:46
109F:→ j3307002: 後来搞到逼你要绑大陆电话我没有只好放弃 04/08 09:47
110F:→ j3307002: 通行密钥是类似那种登入某网站需要信箱给的临时密码吗 04/08 09:48
111F:→ j3307002: 那个一样麻烦,手机上某人力网站登入要临时密码 04/08 09:48
112F:→ j3307002: 结果到你gmail,你又无法回去登入点等於无法登入 04/08 09:49
113F:→ j3307002: 结论:那些烂东西最後都是搞到使用者自己而已 04/08 09:49
114F:→ j3307002: 至於有没有防盗功能就不知道了 04/08 09:50
115F:→ j3307002: 该不会是只要你无法登入某网站,你帐号就不会被盗了吧 04/08 09:50
116F:→ j3307002: 但这不合逻辑啊,如你钥匙丢了无法进入自己的家 04/08 09:50
117F:→ j3307002: 不代表窃贼无法开锁进你家闯空门啊xd 04/08 09:51
118F:推 ronga: passkeys就是 你申请时手机扫QR code即可,并且它会自动同 04/08 09:52
119F:→ ronga: 步到ios 钥匙圈或android帐号中。使用上很方便 04/08 09:53
120F:→ ronga: 之後你只要登入时,手机进行指纹或脸部解锁即可 04/08 09:53
121F:推 j3307002: 了解,感谢说明 04/08 09:56
122F:推 kawazakiz2: 有时候密码忘到乾脆每次登入都选「忘记密码」 04/08 10:31
123F:→ kawazakiz2: 然後用预设的乱码,变成抛弃式的密码 04/08 10:32
124F:→ kawazakiz2: 有些不常用,或是密码规则太多的网站我都是这样的 04/08 10:32
125F:→ kawazakiz2: 大小写也就算了,符号还规定只能用哪几个、数字不连号 04/08 10:33
126F:→ kawazakiz2: 弄到後来如果不用google记忆根本记不住 04/08 10:34
127F:→ kawazakiz2: 但又想说反正也不常用,就连用google纪录都省了 04/08 10:34
128F:推 adamcha: 所以passkey就是给懒人用的 装置注册後不用输烦人密码 04/08 12:34
129F:推 ronga: 也不能算给懒人用 就未来趋势 04/08 13:14
130F:推 Bencrie: passkey不想存手机或云端就用实体金钥 04/08 13:38
131F:→ Bencrie: 老任那边还不给用 yubikey。PSN可以 04/08 13:39
132F:推 ccucwc: 这个应该是整体网路资安升级 不是只有SONY 我的银行跟其他 04/08 16:54
133F:→ ccucwc: 服务最近都加入这种认证 我觉得很方便就是了 mac就直接按 04/08 16:55
134F:→ ccucwc: 指纹就不用再输帐密 04/08 16:55
135F:→ j3307002: 本来我考虑订阅DAZN,也是它那个麻烦密码我就放弃 04/08 18:07
136F:→ j3307002: 所有用麻烦密码的网站最後你都会忘掉密码 04/08 18:08
137F:→ j3307002: 网路资安升级(X)用烂规则让你忘记密码无法登入(0) 04/08 18:08
138F:→ j3307002: 几乎所有资安升级,最後都是害到使用者自己XD 04/08 18:09
139F:→ ksng1092: 这个问题不就是跟" 开了2FA之後怎麽我就不能直接密码登 04/08 18:26
140F:→ ksng1092: 入了?两个共存是不行吗?"差不多等级吧 04/08 18:26
141F:→ Xray2002: 因为他打了一堆字的目的就是只是来抱怨而已 04/08 18:52
142F:→ Gouda: 跟想像不到otp 如何被盗的人讲也是对牛弹琴 楼主就是把2F 04/08 18:53
143F:→ Gouda: A 当神在信的 04/08 18:53
144F:→ Xray2002: 大概没有人看到他的抱怨会全身不酥糊 04/08 18:53
145F:推 bala045: 有趣的人 XDD 04/08 18:54
146F:推 bmaple730: 觉得都用生物辨识真的很方便,二阶认证问题不少而且比 04/09 14:37
147F:→ bmaple730: 较麻烦,不少网站用生物辨识减少我很多麻烦 04/09 14:37
148F:推 ronga: 现在注册新帐号我也是能用passkey就用 毕竟太方便了 不用记 04/10 09:21
149F:→ ronga: 一堆密码 04/10 09:21
150F:→ eva05s: 我是物理性写了本帐密笔记..... 04/12 15:10
151F:推 tiger7182: 我把预设信用卡移除,付费时用applepay 04/12 21:16