web-gelistirme-sc.com

Parolamın zayıf, endişe nedeni olduğunu belirten bir e-postanız var mı?

Kısa süre önce tanınmış bir şirketten kullandığım şifrenin zayıf olduğunu ve kolayca tahmin edilebileceğini belirten bir e-posta aldım.

E-posta, bilgileri çalma girişimi olmadan yasal görünmektedir, yalnızca "hesabınıza giriş yapın ve şifrenizi değiştirmek için hesap-> hesap ayrıntılarına gidin" derler.

  • Şifremin zayıf olduğunu nasıl biliyorlar?
  • Parolamı kaydettikleri için kodlandıkları için bilmemeleri gerekiyor mu?
  • Bilgilerimi nasıl ele aldıkları konusunda endişelenmeli miyim?

E-postanın geldiği şirket oldukça büyük ve tanınmış bir şirkettir. Hizmetlerini kullanmadım veya birkaç aydır giriş yapmadım.

68
darnok

Bilinen zayıf ve tahmin edilebilir parolalara karşı test etmek için parolanızı okuyabilmelerine gerek yoktur. Tek yapmaları gereken, tahmin edilebilir tüm şifreleri şifrenize karşı denemektir. Yapmaları gerektiği gibi uygun şekilde hashed edilebilir ve tuzlanabilir.

Bunu hızlı bir şekilde yapabilirler, çünkü şifre karmalarına meşru erişime sahiptirler ve arka planda çalışan testlere sahip olabilirler. Bilinen diğer sızdırılmış şifre veritabanlarından sızan şifreleri tutan şirketlerin kullanabileceği hizmetler bile vardır.

Tabii ki, bir kez test ettikten sonra, olabilir şifrenizin ne olduğunu biliyorlar (nasıl test ettiklerine bağlı olarak), ancak daha sonra aynı yöntemi kullanan saldırganlar da olabilir.

Bu nedenle, yanlış şifre işleme belirtisi yoktur. Endişe için bir neden yok. Ancak, otomatik testleri bunu bulursa, şifreniz muhtemelen çok tahmin edilebilir ve en kısa zamanda değiştirilmelidir.

148
schroeder

E-posta tamamen yasal olabilir, aslında bir veri ihlalinin parçası olduğunu bilmek için düz metin olarak şifreyi bilmenize gerek yoktur, sadece şifrenizin karması bir veri ihlali içindedir, bu yüzden API örneğin çalışır.

Ayrıca şifreniz zayıfsa muhtemelen değiştirmelisiniz :)

14
kudrom

Diğer cevaplar iyi, ancak sorunuzda değindiğiniz ve tartışmayı gerektiren en azından teorik bir ikinci olasılık var. (Bu, güvenlik paranoyakları için tamamen açıktır, ancak belki herkes değil.)

If "zayıf bir şifreniz var" mesajı var mı değil iddia ettiği siteden geliyor ve eğer bu mesajı gönderen - aslında dışarıdan bir saldırgan olan - kulak misafiri olmanın bir yolu var ve orada sizi bekliyor, oturum açıp şifrenizi istendiği gibi sıfırlıyor, sonra patlıyor, yeni "daha güvenli" şifrenizde ellerini tutuyor ( eski şifrenizin ne olduğu veya ne kadar zayıf veya ip olduğu konusunda bir fikri olmasa bile).

Parola sıfırlama oturumunuzda bir saldırgan nasıl dinlenebilir? * sitenin şifre değişikliği isteklerini kabul eden kısmının güvenliği ihlal edildi

@darnok, tam olarak doğru iki şey konusunda dikkatli olmasından bahsetti:

  • "e-postanın yasal göründüğünü" doğruladı
  • e-postanın değil uygun bir bağlantıya sahip olduğunu, önerilen işlemin "hesabınıza giriş yapmak ve şifrenizi değiştirmek için hesap-> hesap ayrıntılarına gitmek" olduğunu belirtti.

Ancak, bu günlerde, böyle bir e-posta alırsanız, endişelenme hakkınız olduğunu söyleyebilirim. Eğer şifrenizi çalmak için iyi kaynaklanmış bir girişimin kurbanı olsaydınız, tam olarak böyle görünebilir.

0
Steve Summit