GB1553
2019-03-06 00:11:15 UTC
我的大學給我發送了一封電子郵件,通知我,在“定期檢查”期間,我的密碼“很容易被發現並且有受到威脅的危險”。據我了解,除非我的密碼以明文形式存儲,否則他們應該沒有辦法定期檢查我的密碼。我的問題:
- 我的理解是否錯誤,或者我的大學是否一直以明文形式存儲我的密碼?
更新:學校的IT部門將我鏈接到一個頁,說明他們檢查密碼的各種方式。頁面的一部分允許我在大學帳戶上運行測試,並在確實從他們的測試中發現密碼的情況下顯示密碼。它顯示的密碼是我的一個較舊(較弱)的密碼,只是用空格分隔的英文單詞,這說明了他們如何找到它。謝謝所有回答的人。
也許他們正在破解哈希?也許他們正在使用hadibeenpwned或類似的東西。您的密碼是否很弱?
字典攻擊的方式可能很容易,具體取決於它的構造方式...但是對於您學校的IT部門來說,這樣做似乎有點野心勃勃:
我已經更改了密碼,所以我不妨告訴一下格式。隨後是XKCD格式,英語單詞之間用特殊字符分隔。
請與IT部門聯繫以確保。特別是如果您通過電子郵件獲得。可能是網絡釣魚的嘗試。
請不要在擴展對話中使用評論
我提出另一種可能的解釋-沒有人入侵任何東西,他們只是基於相應的證據來警告他們。您是不是很久以前就創建了密碼?也許他們在創建密碼時發現了密碼強度驗證方面的弱點?
聽說您有XKCD格式的密碼,並且他們在檢查站點上向您顯示了該密碼,這使我更加懷疑他們使用純文本格式的密碼。
@user3067860,這就是為什麼我使用特別侮辱個人的短語作為密碼的原因。不錯,很結實,所以通常的翻錄者等都不會獲得成功,如果他們將其存儲為純文本,我還沒有被HR要求:)
@GaryBlake撰寫了“解釋他們檢查的方式...”和“允許我運行測試” ...這些方式是什麼,您運行了哪些測試?它是一種僅檢索您的純文本存儲的密碼並將其顯示給您的測試,還是只是一種嘗試蠻力猜測密碼的工具?如果他們擁有可以輕鬆暴力破解XKCD樣式密碼的工具,那我們應該知道。
-1
您在更新中寫的@GaryBlake,中看到了舊密碼。這意味著是的,他們以明文形式存儲學生的密碼。也許不是他們當前的密碼,但是由於人們通常會重用他們的密碼,因此他們那裡可能有一些學生的明文銀行登錄信息。請去抱怨。
@Aaron如果您的密碼根本沒有任何“語法和句子結構”,那麼那實際上不是“ XKCD風格”的密碼,因為該漫畫的重點是建議*隨機*選擇幾個單詞,然後輕鬆地從它們創建助記符。如果您先創建助記符,然後將其轉換為密碼,那麼您會像白痴們仍然在強制使用特殊字符之類的那樣,嚴重地錯過這一點。
@GaryBlake您是否正確遵循XKCD格式?例如,通過實際的隨機選擇(或至少通過一種良好的強偽隨機方法選擇單詞),因為幾乎不可能生成真正的完美隨機性)?如果您這樣做了,那麼,是的,任何聲稱已破解的東西要么完全是在這樣做,要么是在攻擊其係統中的弱點,而不是密碼中的弱點。如果您只是選擇了四個喜歡的單詞來做到這一點,那麼您需要返回並重新閱讀漫畫,這次還要更加註意細節。
“這解釋了他們如何找到它。”我不確定這是否正確-如果您有2個字,是的,這將是微不足道的(可能是400萬個猜測,對於一台像樣的計算機來說並不算多),但如果是4個字,則應該更難他們無法合理地破解。
@MatthewNajmon,它也可能是一個輕率的管理者,認為“正確的馬電池釘”是一個可怕的密碼,因為它不包含大寫字母,數字或特殊字符。我有一個正確的馬力電池裝訂密碼,然後我加了帽子,數字和破折號來滿足這些拉默,然後,貝寶抱怨說,因為破折號不夠特殊。SMH ...