Passwords
其他人或在其他服務上重複使用密碼
在不同的服務中使用相同的密碼如何降低安全性?使用與其他人相同的密碼如何降低安全性?我一直想知道的非常基本的問題;GitHub提醒我最近看到了這條消息,
由於您或其他人在其他服務上重複使用該密碼,您提供的密碼已被報告為已洩露。
和,
為 GitHub 生成唯一密碼。如果您在其他地方使用您的 GitHub 密碼並且該服務遭到入侵,那麼攻擊者或其他惡意行為者可能會使用該資訊訪問您的 GitHub 帳戶。
從理論上講,這將如何工作?不同的鹽不應該使它對任何攻擊者幾乎無用嗎?
不同的鹽值將創建完全不同的散列值,即使明文密碼完全相同[維基百科]
Salt通常與散列密碼一起儲存。當攻擊者知道您在“pqr.com”中的密碼是“abc123”時,他可以在站點“efg.com”中嘗試您的使用者名和密碼“abc123”。現在“efg.com”將根據您的使用者名檢索儲存的雜湊並從中提取鹽。然後提取的鹽用於計算輸入密碼的雜湊值,然後與儲存的雜湊值進行匹配。
salt 的目的是確保僅通過查看兩個散列密碼,攻擊者就無法判斷它們是否相同。
鹽不是秘密。唯一的要求是,它在給定的數據庫中必須是唯一的。它的存在只是為了防止攻擊者準備一個帶有密碼及其雜湊值的預先計算的查找表來進行字典攻擊。但是如果攻擊者知道密碼本身,salt 就無法拯救使用者。