我最近收到了一家知名公司的电子邮件,指出我使用的密码很弱,很容易猜到。

电子邮件似乎合法,没有试图窃取信息,他们只说“登录您的帐户并转到帐户->帐户详细信息以更改密码”,没有任何链接,他们可以伪造或任何其他内容。


他们怎么知道我的密码很弱?
是否不应该因为保存密码就知道我的密码而导致他们不知道我的密码?
我应该担心他们处理我的信息的方式吗?

该公司的电子邮件地址是来自一家相当重要的知名公司。我已经几个月没有使用他们的服务或登录了。

评论

Github ^ H ^ H ^ H ^ H ^ H ^ H众所周知,知名公司使用HaveIBeenPwned的PwnedPasswords API,并且在过去几周内一直在发送合法电子邮件。当您登录时,他们会检查您的密码,不要以纯文本形式存储,并标记您的帐户,直到您更改密码。使用密码管理器,并为每个站点选择一个随机的唯一密码。
担心的原因?仅来自您自己的帐户。
“ Github ^ H ^ H ^ H ^ H ^ H ^ H”是什么意思?
@NathanHinchey ^ H代表退格字符,因此该注释看起来像是Ghedipunk首先写了“ Github”,然后决定删除名称并写了“一家知名公司”,例如“我不想”告诉你是谁做的,但是....啊,谁在乎,我还是会告诉你的。“

#1 楼

他们不需要能够读取您的密码来针对已知的弱密码和可猜密码进行测试。他们所需要做的就是尝试针对您的密码尝试所有可猜测的密码。可以按照预期的方式正确地对其进行哈希处理和加盐处理。

他们可以快速执行此操作,因为他们对密码哈希具有合法的访问权限,并且可以简单地在后台运行测试。甚至还有供公司使用的服务,这些服务可以从其他已知的泄漏密码数据库中保存泄漏的密码。

当然,一旦他们对其进行了测试,他们可能会知道您的密码(取决于他们的密码方式)测试过),但是攻击者也可以使用相同的方法。

因此,没有迹象表明密码处理不正确。不用担心。但是,如果他们的自动测试找到了,那么您的密码可能非常容易猜测,应尽快更改。

评论

只是为了表明他们甚至不需要尝试使用您帐户上的这些弱密码登录:他们可以简单地生成所有“弱”密码的哈希值并将电子邮件发送给数据库中具有匹配哈希值的任何人。

–弗兰克·霍普金斯
19-10-23在22:19
“您的密码很容易破解”“您怎么知道?” “好吧,我们破解了它。”

– corsiKa
19-10-24在1:02
@FrankHopkins仅适用于无盐散列,这仍然值得关注,因为这意味着它们不遵循基本的安全标准。

– Morfildur
19-10-24在5:17
@SethR定期旋转密码是个坏建议。它不会增强安全性,并且可能会削弱安全性。当然,确保您的密码是安全的,这是极好的建议。

–马丁·邦纳(Martin Bonner)支持莫妮卡(Monica)
19-10-24在10:26
@MartinBonner,除非您不知道它已被破坏。像Cyber​​Ark这样的产品一旦使用就更改密码是有原因的。在我的环境中,如果密码永不过期,我可以让人们非常敏感地使用存在15年的密码来访问数据。对这些帐户的威胁本来就是隐秘的,安静的,并希望尽可能长时间地保持访问权限。我必须坚持定期更改以减轻永远不会暴露自己的威胁。

– schroeder♦
19-10-24在12:51


#2 楼

电子邮件可能是完全合法的,您实际上不需要知道纯文本密码就可以知道它已成为数据泄露的一部分,只是您密码的哈希值属于数据泄露,这就是haveibeenpwned的API例如。

此外,如果您的密码很弱,则应该更改它:)

评论

这是先前答案的总结

–钨
19-10-23在10:49
我知道队友,我必须在同一时间发布它:)

– Kudrom
19-10-23在16:48
措辞上,这实际上与其他答案不同。这意味着是对密码的哈希值进行了检查,以检查是否存在泄漏的哈希值(这本身不会使密码变弱,只是因为哈希值被泄漏而变得很弱),这意味着泄漏和本系统都不会盐散列,或者泄漏来自现有系统!如果您有加盐的哈希,则无法将其与相同密码的其他哈希(加盐或其他方式)进行检查。您不能将hasibeenpwned API与正确加盐的哈希一起使用,您需要了解明文。

– jcaron
19-10-24在7:01
@jcaron,如果采用最佳做法,将使此答案错误。

– schroeder♦
19-10-24在15:11
@schroeder,使您的评论“错误”(假定是脚踏实地)。即,这个答案有用地解决了该问题的一个可能方面,因此尽管不如某些答案正确,但足以单独使用。 |关于我的评论可能也是如此:-)。

–拉塞尔·麦克马洪(Russell McMahon)
19-10-26在0:45

#3 楼

其他答案很好,但是至少有理论上的第二种可能性,您可能会在问题中提到并要讨论。 (对于那里的安全偏执狂来说,这是显而易见的,但也许并非所有人都如此。)

如果“您的密码太弱”消息不是来自它声称的网站,并且该邮件的发件人(实际上是外部攻击者)可以窃听,并潜伏在那里等待您登录,根据要求登录并重置密码,然后繁荣发展,他动手操作了您的新密码, “更安全”的密码(即使他可能不知道您的旧密码是什么,或密码的强度或字符串多么弱)。

攻击者如何窃听您的密码重置会话? br /> *破坏了接受密码更改请求的网站部分
*以某种方式嗅探您的Internet连接
*在电子邮件中为您提供了一个有用的链接,该链接指向模仿真实网站的其他网站

@darnok提到对正确的两件事要小心:


验证“电子邮件似乎是合法的”
指出电子邮件中没有方便的链接,建议采取的措施是“登录您的帐户并转到帐户->帐户详细信息以更改密码”。

但是,如今,如果电子邮件,我想您应该担心。如果您是资源丰富的企图窃取密码的受害者,那么这就是它的样子。