it-swarm-eu.dev

Hai un'e-mail che dice che la mia password è debole, motivo di preoccupazione?

Di recente ho ricevuto un'e-mail da una nota azienda in cui si afferma che la password che utilizzo è debole e può essere facilmente intuita.

L'e-mail sembra legittima senza alcun tentativo di rubare informazioni, dicono solo "accedi al tuo account e vai all'account-> dettagli dell'account per cambiare la password" senza alcun link che possono falsificare o altro.

  • Come fanno a sapere che la mia password è debole?
  • Non sono tenuti a non conoscere la mia password perché è codificata quando la salvano?
  • Dovrei preoccuparmi del modo in cui gestiscono le mie informazioni?

La società da cui proviene l'email è una società piuttosto importante e ben nota. Non uso il loro servizio o non eseguo l'accesso da alcuni mesi.

68
darnok

Non è necessario che siano in grado di leggere la tua password per testarla con password conosciute deboli e indovinabili. Tutto quello che devono fare è provare tutte le password indovinabili con la tua password. Può essere correttamente frantumato e salato, come dovrebbero fare.

Possono farlo rapidamente perché hanno accesso legittimo agli hash delle password e possono semplicemente avere test in esecuzione in background. Ci sono anche servizi là fuori che le aziende possono usare per conservare le password trapelate da altri database di password trapelati noti.

Naturalmente, una volta testato, allora potrebbero sanno qual è la tua password (a seconda di come l'hanno testata), ma poi, così possono attaccare usando lo stesso metodo.

Pertanto, non vi è alcuna indicazione di una gestione errata della password. Nessun motivo di preoccupazione. Ma, se i loro test automatici lo hanno trovato, allora la tua password è probabilmente molto indovinabile e dovrebbe essere cambiata il prima possibile.

148
schroeder

L'email potrebbe essere totalmente legittima, in realtà non è necessario conoscere la password in testo normale per sapere che ha fatto parte di una violazione dei dati, solo che l'hash della password è in una violazione dei dati, ecco come l'API di è stata creata funziona per esempio.

Inoltre se la tua password è debole dovresti probabilmente cambiarla :)

14
kudrom

Le altre risposte vanno bene, ma c'è almeno una seconda possibilità teorica che hai toccato nella tua domanda e che merita di essere discussa. (Questo è del tutto ovvio per i paranoici della sicurezza là fuori, ma forse non tutti gli altri.)

If il messaggio "hai una password debole" not proviene dal sito in cui si afferma e if il mittente di quel messaggio - che in realtà è un utente malintenzionato esterno - ha un modo di intercettare e si nasconde lì in attesa di te, accedi e reimposta la tua password come richiesto, quindi boom, ha le mani sulla tua nuova password "più sicura" ( anche se potrebbe non aver avuto idea di quale fosse la tua vecchia password, o di quanto fosse debole o stringa).

In che modo un utente malintenzionato può intercettare la tua sessione di reimpostazione della password? * compromesso la parte del sito che accetta richieste di modifica della password * annusando in qualche modo la tua connessione a Internet * ti ha fornito un link utile nell'e-mail che punta a un sito diverso che imita il sito reale

@darnok ha detto di stare attento esattamente alle due cose giuste:

  • verificato che "l'email sembra legittima"
  • ha notato che l'e-mail non aveva un comodo collegamento, che l'azione suggerita era "accedere al proprio account e andare all'account-> dettagli dell'account per cambiare la password"

Ma, in questi giorni, se ricevi una simile email, direi che hai ragione a essere preoccupato. Se eri vittima di un tentativo ben fornito di rubare la tua password, questo è esattamente come potrebbe apparire.

0
Steve Summit