Che cosa significa "Cambia la tua password ovunque altrove" significa che la posta elettronica da un servizio compromesso?

Naviga le tue risposte
7

Ho ricevuto una e-mail da ubuntuforums.org un paio di ore fa:

[...] the attacker has gained access to read your username, email address and an encrypted copy of your password from the forum database.

If you have used this password and email address to authenticate at any other website, you are urged to reset the password on those accounts immediately as the attacker may be able to use the compromised personal information to access these other accounts. It is important to have a distinct password for different accounts [...]

Per me quella parte di testo suona come:

We do not use salts, and we use MD5 to hash passwords, so you should change your password everywhere on the net because a lot of services do the same "hashing method".

Quindi, la domanda (rispetto a "Usiamo metodi di crittografia con password forti con sali e simili, quindi ecco il tuo accesso unico, ti verrà chiesto di cambiare la password al login, non c'è bisogno di cambiare le password ovunque") è: fare quel tipo di reazione da un servizio compromesso ti dice su quanto è grave la loro sicurezza?

    
posta НЛО 24.07.2013 - 06:44
fonte

2 risposte

10

No, questa è una pratica standard e un tentativo di limitazione della responsabilità da parte degli avvocati. È del tutto possibile per qualcuno invertire una password debole anche da valori hash e salati correttamente se hanno voglia di passare il tempo. I sali lo rendono più lento, ma non gli impediscono di infrangere le password deboli.

Se la tua password viene compromessa, non vogliono essere ritenuti responsabili quando l'hacker accede al tuo conto bancario e cancella i tuoi risparmi di una vita, quindi suggeriscono di cambiare qualsiasi account che condividesse nome utente e password.

Personalmente, di solito non mi preoccupo troppo di questa notifica finché hai una password sicura che non può essere forzata brutalmente, ma la verbosità del messaggio è la norma per il corso.

    
risposta data 24.07.2013 - 07:40
fonte
2

Penso che sia dovere dei proprietari di qualsiasi applicazione compromessa avvisare i propri utenti del compromesso. L'email non ti dice direttamente che la loro sicurezza è cattiva o no. Ma invece ti avverte di cambiare le password se nel caso dello scenario peggiore.

Finché la tua password è sicura, non hai bisogno di panico. Ma per gli altri con una password debole, il panico è buono. Possono prendersi cura dei conti rimanenti.

    
risposta data 24.07.2013 - 08:36
fonte

Leggi altre domande sui tag

STARTTLS è una vulnerabilità di sicurezza? Cambio password BitLocker