Điểm:1

Kết hợp tài khoản trên nhiều rò rỉ dữ liệu thông qua mật khẩu băm của họ

lá cờ it

Tôi đã nghe nói về một số trường hợp mà các nhà nghiên cứu OSINT có thể khớp tài khoản người dùng từ nhiều vụ rò rỉ dữ liệu hoàn toàn dựa trên mật khẩu được băm của họ, giả sử các tài khoản có cùng mật khẩu trên các trang web khác nhau. (Có, ngay cả khi không có đặc điểm nhận dạng nào khác, chẳng hạn như tên người dùng được sử dụng lại, địa chỉ email được sử dụng lại, dấu vân tay của trình duyệt hoặc IP.)

Theo như tôi biết, tất cả những rò rỉ dữ liệu này đều có mật khẩu mặn, vì vậy các nhà nghiên cứu không thể chỉ so sánh các giá trị băm đơn giản giữa các lần rò rỉ.

Họ đã làm điều đó như thế nào? Liệu họ có cố gắng brute-force cả hai rò rỉ và sau đó so sánh bản rõ nơi họ nhận được kết quả phù hợp không? Có bất kỳ thủ thuật nào có thể được sử dụng để giảm nỗ lực tính toán không? Ví dụ: trong thực tế, việc tính toán trước các bảng cầu vồng khổng lồ cho mật khẩu có muối có khả thi đến mức nào? Không phải "kích thước" bổ sung làm cho điều này trở nên khó khăn sao?

Tôi cho rằng những phân tích này chỉ thành công với mật khẩu rất đơn giản (ví dụ: <7 ký tự không có ký hiệu đặc biệt) hoặc khi quản trị viên trang web sử dụng một số triển khai băm rất thiếu sót (ví dụ: muối dễ đoán). Thật?

PS: Sử dụng lại mật khẩu là xấu trong mọi trường hợp. Vui lòng không sử dụng lại mật khẩu.

DannyNiu avatar
lá cờ vu
Tôi khá chắc chắn rằng muối đã không được sử dụng hoặc được tạo ra không đúng cách trong những trường hợp đó. Dù sao, chúng ta cần xem kết quả đã công bố của họ để biết chắc chắn.
lá cờ cn
nếu một trong những lần rò rỉ có mật khẩu thực chứ không phải là hàm băm có muối, thì các hàm băm có muối khác có thể được tính nếu muối cũng bị rò rỉ với hàm băm. Cũng có thể xảy ra nếu một trong các mật khẩu được lưu trữ mà không có muối.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.