In che modo le password possono essere rubate da Yahoo?

Naviga le tue risposte
2

Ho sempre capito che i server non memorizzano le password degli utenti. Al contrario, memorizzano hash di password e quindi convalidano l'input dell'utente applicando la funzione hash, quindi confrontano il risultato dell'hash con il valore dell'hash memorizzato localmente sul server. Senza ricevere una password e quindi applicare questa operazione di hash e confronto, un utente non ottiene l'accesso.

Se questo è il caso, come possono essere rubate migliaia di password di account Yahoo, come riportato di recente?

Se questo non è il caso (per quanto riguarda il modo in cui l'autenticazione della password di Yahoo è stata eseguita), allora come è fatto? Mantengono davvero le password effettive a portata di mano? È questa pratica comune?

    
posta Jim 02.08.2012 - 01:15
fonte

1 risposta

2

Gli aggressori hanno sfruttato una debolezza del database che ha causato il dumping accidentale del database di un grande batch di record di nome utente * | | hash (e probabilmente salt).

Gli hash sono stati quindi forzati in modalità brute-forzata, rivelando tutte le password più deboli come "toto24" e "123456" o "mypassword", ma non quelle forti. Questo ha compromesso una parte molto grande dei conti, dal momento che la maggior parte delle persone ha delle password di merda. E spesso, anche solo conoscendo il nome utente è sufficiente, dato che la persona potrebbe essersi iscritta con lo stesso nome utente su un sito Web con una sicurezza ancora più debole - ma ecco la parte interessante: ha anche firmato con la stessa password. Game over!

Yahoo non ha mai avuto le password in chiaro, sebbene potessero avere incrinato anche i deboli account se lo volevano, ma non hanno alcun incentivo a farlo.

* Nel caso di Yahoo, username = email.

    
risposta data 02.08.2012 - 01:28
fonte

Leggi altre domande sui tag

Il supporto SGC riduce la sicurezza HTTPS? Come sapere se Firefox Home (iOS) utilizza l'API di Data Protection?