In che modo SplashData conosce le peggiori password utilizzate dagli utenti ogni anno

Naviga le tue risposte
1

È noto che ogni sito Web rispettabile memorizza le proprie password utente nel proprio database dopo aver implementato un algoritmo di hash su di esso, e anche loro non sanno quale sia la vera password dell'utente; e quando l'utente accede al proprio sito Web, viene generato un HASH dalla password di input dell'utente e confrontato con l'hash precedentemente memorizzato nel database.

Se questo è vero, allora come mai siti come SplashData.com pubblicano annualmente la lista delle password più deboli? Com'è possibile che abbiano messo le mani sul testo in chiaro della password utente se era in hash?

Ecco alcuni link utili,

SplashData:

"123456" in cima all'elenco delle password peggiori

  • Symantec parla di SplashData

The Worst Passwords del 2013

    
posta Sufiyan Ghori 20.10.2014 - 15:56
fonte

3 risposte

4

Il tuo primo link dice quale sia la fonte:

This list is from files containing stolen passwords posted online during the previous year.

In un mondo perfetto questo non accadrebbe. Non solo tutti salverebbero e cancellerebbero le loro password con un costoso algoritmo, la sicurezza sarebbe anche abbastanza buona da non rubare gli elenchi di password. Sfortunatamente il mondo in cui viviamo non è perfetto.

Le perdite da database di grandi dimensioni si verificano sempre.

Esistono ancora grandi servizi che memorizzano le password in testo semplice. Quasi tutti hanno cancellato le loro password, ma poi non le salano, o le salano, ma poi usano un algoritmo abbastanza veloce da rendere fattibile il brute-forzamento delle password più deboli (come quelle della famiglia SHA, per esempio) .

    
risposta data 20.10.2014 - 16:22
fonte
1

Mentre i siti web "rispettabili" possono farlo, ce ne sono altrettanti che non li memorizzano in modo sicuro e vengono compromessi. Sono disponibili database di password compromessi e, se li acquisisci, puoi costruire un elenco come quello creato da SplashData.

    
risposta data 20.10.2014 - 16:19
fonte
0

Non posso ancora commentare, quindi pubblicherò una risposta .

Posso pensare a due cose che potrebbero fare:

  1. Esegui un elenco di password errate attraverso i loro hash e vedi quante corrispondenze con il loro database di hash delle password, quindi conta e classifica.

  2. Esegui il reverse engineering di un set di campioni degli hash delle password (perché dedicare troppo tempo a questo?) e aggrega i dati sulle password brute forzate, quindi esegui il ranking.

Non riesco a capire quali siano i loro metodi esatti, ma non ha senso che sarebbe troppo impegnativo o dispendioso in termini di tempo.

    
risposta data 20.10.2014 - 16:25
fonte

Leggi altre domande sui tag

Come si chiama questo tipo di metodo di rilevamento delle perdite? Se la compressione TLS non è supportata, un sito è ancora vulnerabile ad attacchi come BREAK?