Tôi đã nghe nói về một số trường hợp mà các nhà nghiên cứu OSINT có thể khớp tài khoản người dùng từ nhiều vụ rò rỉ dữ liệu hoàn toàn dựa trên mật khẩu được băm của họ, giả sử các tài khoản có cùng mật khẩu trên các trang web khác nhau. (Có, ngay cả khi không có đặc điểm nhận dạng nào khác, chẳng hạn như tên người dùng được sử dụng lại, địa chỉ email được sử dụng lại, dấu vân tay của trình duyệt hoặc IP.)
Theo như tôi biết, tất cả những rò rỉ dữ liệu này đều có mật khẩu mặn, vì vậy các nhà nghiên cứu không thể chỉ so sánh các giá trị băm đơn giản giữa các lần rò rỉ.
Họ đã làm điều đó như thế nào? Liệu họ có cố gắng brute-force cả hai rò rỉ và sau đó so sánh bản rõ nơi họ nhận được kết quả phù hợp không? Có bất kỳ thủ thuật nào có thể được sử dụng để giảm nỗ lực tính toán không? Ví dụ: trong thực tế, việc tính toán trước các bảng cầu vồng khổng lồ cho mật khẩu có muối có khả thi đến mức nào? Không phải "kích thước" bổ sung làm cho điều này trở nên khó khăn sao?
Tôi cho rằng những phân tích này chỉ thành công với mật khẩu rất đơn giản (ví dụ: <7 ký tự không có ký hiệu đặc biệt) hoặc khi quản trị viên trang web sử dụng một số triển khai băm rất thiếu sót (ví dụ: muối dễ đoán). Thật?
PS: Sử dụng lại mật khẩu là xấu trong mọi trường hợp. Vui lòng không sử dụng lại mật khẩu.