it-swarm-vi.com

Có một email nói rằng mật khẩu của tôi yếu, lý do cho mối quan tâm?

Gần đây tôi nhận được một email từ một công ty nổi tiếng nói rằng mật khẩu tôi sử dụng yếu và có thể dễ dàng đoán ra.

Email có vẻ hợp pháp mà không cố gắng đánh cắp thông tin, họ chỉ nói "đăng nhập vào tài khoản của bạn và truy cập tài khoản-> chi tiết tài khoản để thay đổi mật khẩu của bạn" mà không có liên kết nào họ có thể giả mạo hoặc bất cứ điều gì.

  • Làm thế nào để họ biết rằng mật khẩu của tôi yếu?
  • Có phải họ không được biết mật khẩu của tôi vì nó được mã hóa khi họ lưu nó?
  • Tôi có nên lo lắng về cách họ xử lý thông tin của tôi không?

Công ty email đến từ một công ty khá lớn và nổi tiếng. Tôi đã không sử dụng dịch vụ của họ hoặc đăng nhập trong một vài tháng.

68
darnok

Họ không cần phải đọc mật khẩu của bạn để kiểm tra mật khẩu trước những mật khẩu yếu và có thể đoán được. Tất cả những gì họ cần làm là thử tất cả các mật khẩu có thể đoán được với mật khẩu của bạn. Nó có thể được băm và muối đúng cách, như họ phải làm.

Họ có thể làm điều này một cách nhanh chóng vì họ có quyền truy cập hợp pháp vào băm mật khẩu và đơn giản là có thể có các bài kiểm tra đang chạy trong nền. Thậm chí có những dịch vụ ngoài kia cho các công ty sử dụng giữ mật khẩu bị rò rỉ từ các cơ sở dữ liệu mật khẩu bị rò rỉ đã biết khác.

Tất nhiên, một khi họ kiểm tra nó, thì họ có thể biết mật khẩu của bạn là gì (tùy thuộc vào cách họ kiểm tra nó), nhưng sau đó, những kẻ tấn công có thể sử dụng cùng một phương pháp.

Vì vậy, không có dấu hiệu xử lý mật khẩu không đúng. Không có lý do cho mối quan tâm. Nhưng, nếu thử nghiệm tự động của họ tìm thấy nó, thì mật khẩu của bạn có thể rất dễ đoán và nên được thay đổi càng sớm càng tốt.

148
schroeder

Email có thể hoàn toàn hợp pháp, bạn thực sự không cần phải biết mật khẩu trong bản rõ để biết rằng đó là một phần của vi phạm dữ liệu, chỉ là hàm băm của mật khẩu của bạn bị vi phạm dữ liệu, đó là cách API đã bị xóa làm việc chẳng hạn.

Hơn nữa, nếu mật khẩu của bạn yếu, có lẽ bạn nên thay đổi nó :)

14
kudrom

Các câu trả lời khác là tốt, nhưng có ít nhất khả năng thứ hai về mặt lý thuyết mà bạn đã chạm vào trong câu hỏi của bạn và những gì đang thảo luận. (Điều này là hoàn toàn rõ ràng đối với các hoang tưởng bảo mật ngoài kia, nhưng có lẽ không phải ai khác.)

If thông báo "bạn có mật khẩu yếu" đã làm không đến từ trang web mà nó tuyên bố và if người gửi tin nhắn đó - người thực sự là một kẻ tấn công bên ngoài - có cách nghe lén, và đang ẩn nấp ở đó chờ bạn, đăng nhập và đặt lại mật khẩu của bạn theo yêu cầu, sau đó bùng nổ, anh ta đã chạm tay vào mật khẩu "an toàn hơn" mới của bạn ( mặc dù anh ta có thể không biết mật khẩu cũ của bạn là gì, hoặc nó yếu hay chuỗi như thế nào).

Làm thế nào kẻ tấn công có thể nghe lén phiên đặt lại mật khẩu của bạn? * đã xâm phạm một phần của trang web chấp nhận yêu cầu thay đổi mật khẩu * đánh hơi kết nối Internet của bạn bằng cách nào đó * đã cho bạn một liên kết hữu ích trong email trỏ đến một trang web khác bắt chước trang web thực

@darnok đề cập đến việc cẩn thận về chính xác hai điều đúng:

  • xác minh rằng "email có vẻ hợp pháp"
  • lưu ý rằng email đã không có một liên kết thuận tiện, rằng hành động được đề xuất là "đăng nhập vào tài khoản của bạn và truy cập tài khoản-> chi tiết tài khoản để thay đổi mật khẩu của bạn"

Nhưng, những ngày này, nếu bạn nhận được một email như vậy, tôi sẽ nói rằng bạn có quyền được quan tâm. Nế bạn là nạn nhân của một nỗ lực có nguồn lực tốt để đánh cắp mật khẩu của bạn, đây chính xác là giao diện của nó.

0
Steve Summit