acebook強制重置密碼,facebook密碼暴力破解,facebook暴力駭客
強制重置密碼?檢查妳的假設
現在幾乎每周,我都會聽到壹個憤慨的讀者的聲音,他懷疑他們經常訪問的網站上的數據泄露,只是要求讀者重設密碼。進壹步的調查幾乎總是顯示出密碼重置需求不是由於違規造成的,而是該網站努力識別正在重用已被黑客入侵的其他網站中的密碼的客戶的努力。
密碼破解高手專家提供您facebook、gmail、hotmail、skype、yahoo、Line.Twitter.LinkedIn.微信 行動電話定位,手機定位,facebook.line.微信.聊天簡訊恢復,等各種郵件信箱破解密碼、社交程式密碼破解.網站入侵.數據修改.信箱入侵破碼、駭客入侵程式,您有任何關於密碼破解等技術支援服務,歡迎請找我們最專業的密碼破解大師為您解決任何疑難雜症。專業駭客破解密碼聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》
但是具有諷刺意味的是,許多采取這些主動措施的公司很快發現,他們對自己這樣做的原因的解釋可能會被誤解為安全性不強的更多證據。這篇文章試圖解開這裏發生的事情。
上周末,Twitter上的壹名追隨者將我包含在發給加利福尼亞州求職網站Glassdoor的壹條推文中,該推特剛剛向他發送了以下通知:
Twitter的追隨者對此消息表示擔憂,因為它向他暗示,為了使Glassdoor完成其所描述的工作,該公司必須將其用戶密碼存儲為純文本格式。我回答說,這實際上並不表示以純文本形式存儲密碼,並且許多公司現在正在根據已泄露並可以在線使用的被入侵憑據列表來測試其用戶憑據。
現實情況是,Facebook,Netflix和許多知名公司經常通過龐大的數據泄漏寶庫進行梳理,以獲取與客戶的證書相匹配的憑據,然後強制為這些用戶重置密碼。有些甚至正在檢查所有新帳戶註冊中是否可以重新使用密碼。
這裏的想法是阻止當前所有在線開展業務的公司面臨的壹個普遍存在的問題:即“憑據填充攻擊”,其中攻擊者從受感染的數據庫中獲取數百萬甚至數十億的電子郵件地址和相應的破解密碼,並查看有多少他們中的壹些人在其他在線酒店工作。
那麽,如何抵禦每天大量的憑證填充呢?采用這種策略的公司將首先從這些泄漏的憑證列表中提取與其當前用戶群相對應的任何電子郵件地址。
從那裏,將相應的破解(純文本)密碼輸入公司在用戶登錄時所依賴的相同過程:也就是說,公司通過自己的密碼“散列”或加擾例程來提供這些純文本密碼。
密碼散列被設計為壹種單向功能,它對純文本密碼進行加擾,以便產生壹長串數字和字母。並非所有的哈希方法都是壹樣創建的,並且某些最常用的方法(例如MD5和SHA-1)的安全性可能遠不如其他哈希方法高,這取決於它們的實現方式(稍後會詳細介紹)。無論使用哪種哈希方法,都會存儲存儲的哈希輸出,而不是密碼本身。
密碼破解高手專家提供您facebook、gmail、hotmail、skype、yahoo、Line.Twitter.LinkedIn.微信 行動電話定位,手機定位,facebook.line.微信.聊天簡訊恢復,等各種郵件信箱破解密碼、社交程式密碼破解.網站入侵.數據修改.信箱入侵破碼、駭客入侵程式,您有任何關於密碼破解等技術支援服務,歡迎請找我們最專業的密碼破解大師為您解決任何疑難雜症。專業駭客破解密碼聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》
返回到流程:如果用戶從被黑客入侵的數據庫中獲得的純文本密碼與公司在通過其內部哈希處理運行該密碼後期望看到的輸出相匹配,則會提示該用戶將其密碼更改為真正唯壹的密碼。
現在,通過用所謂的“鹽”修改密碼或將隨機數據添加到哈希函數的輸入中以保證唯壹的輸出,可以使密碼哈希方法更加安全。而且,許多使用Glassdoor方法的Twitter線程的讀者都認為,如果不放棄這壹額外的安全層,該公司就無法做到其所描述的。
我在推特上發表了有關為何Glassdoor這麽做的解釋性答復(事後看來)是不完整的,無論如何都不是應該的。幸運的是,Glassdoor的首席信息官安東尼Moisant 幫腔到Twitter的線程解釋說,鹽其實添加密碼測試過程的壹部分。
“在我們的[用戶]數據庫中,我們有三列-用戶名,鹽值和scrypt哈希,” Moisant在接受KrebsOnSecurity采訪時解釋說。“我們將存儲在數據庫中的鹽和哈希[函數]應用於純文本密碼,然後根據存儲在數據庫中的哈希檢查結果值。不管出於什麽原因,有人已經意識到,如果您加鹽,就不可能進行這些檢查,但這是不正確的。”
檢查您的假設
您-用戶-不可能知道或控制給定站點使用的密碼哈希方法, 即使他們確實使用了它們。但是,您可以控制選擇的密碼的質量。
我對此壓力不足:不要重復使用密碼。而且也不要回收它們。回收涉及相當la腳的嘗試,通過簡單地添加數字或更改某些字符的大寫字母來使重用密碼唯壹。專門從事密碼攻擊的騙子也很適合這種方法。
如果您在記住復雜的密碼時遇到麻煩(大多數人都這樣描述),請考慮改用密碼長度,這是壹個更重要的決定因素,它可以確定某個給定密碼是否可以在任何時間範圍內被可用工具破解,這可能對攻擊者。
因此,專註於選擇密碼短語而不是密碼是更安全,更明智的選擇。密碼短語是多個(理想情況下無關的)單詞拼湊而成的集合。密碼不僅通常更安全,而且還具有易於記憶的附加優勢。
根據最近的博客文章由微軟計劃經理亞歷克斯韋納特,沒有關於密碼復雜上述建議的相當於從攻擊者的角度來看豆山。
密碼破解高手專家提供您facebook、gmail、hotmail、skype、yahoo、Line.Twitter.LinkedIn.微信 行動電話定位,手機定位,facebook.line.微信.聊天簡訊恢復,等各種郵件信箱破解密碼、社交程式密碼破解.網站入侵.數據修改.信箱入侵破碼、駭客入侵程式,您有任何關於密碼破解等技術支援服務,歡迎請找我們最專業的密碼破解大師為您解決任何疑難雜症。專業駭客破解密碼聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》
Weinert的帖子提出了壹個令人信服的論點,即只要我們堅持使用密碼,就可以充分利用 您經常訪問的站點提供的最強大的多因素身份驗證(MFA)形式,這是阻止攻擊者的最佳方法。Twofactorauth.org在這裏提供了方便的選擇列表,按行業分類。
“您的密碼無關緊要,但是MFA卻如此,” Weinert寫道。“根據我們的研究,如果您使用MFA,您的帳戶被盜的可能性就會降低99.9%以上。”
Glassdoor的Moisant表示,該公司目前不為其用戶提供MFA,但它計劃在今年晚些時候向消費者和企業用戶推出MFA。
密碼管理器對於那些不得不提出密碼短語或復雜密碼的人也很有用。如果您不願意委托第三方服務或應用程序為您處理此過程,則寫下密碼絕對沒有錯,但前提是:a)不要將密碼存儲在計算機上的文件中或錄音帶上的筆記本電腦中或屏幕等),以及b)您的密碼筆記本存放在相對安全的地方,即不在您的錢包或汽車中,但在上鎖的抽屜或保險箱中。
盡管毫無疑問,許多讀者會帶我去做最後的建議,因為在所有與安全相關的方面,重要的是不要讓完美成為商品的敵人。許多人(想想媽媽/爸爸/祖父母)都不會麻煩使用密碼管理器,即使您遇到麻煩代表他們設置密碼管理器時也是如此。取而代之的是,如果沒有壹種簡便,非技術性的方法,它們將僅恢復為重用或回收密碼。
留言列表
