Я слышал о нескольких случаях, когда исследователи OSINT смогли сопоставить учетные записи пользователей из нескольких утечек данных исключительно на основе их хешированных паролей, предполагая, что учетные записи имеют один и тот же пароль на разных сайтах. (Да, даже если не было других идентифицирующих характеристик, таких как повторно используемые имена пользователей, повторно используемые адреса электронной почты, отпечатки пальцев браузера или IP-адреса.)
Насколько мне известно, во всех этих утечках данных были пароли с солью, поэтому исследователи не могли просто сравнивать простые хэши между утечками.
Как они это делают? Будут ли они просто пытаться перебрать обе утечки, а затем сравнивать открытый текст, в котором они нашли совпадения? Существуют ли какие-либо приемы, которые можно использовать для уменьшения вычислительных усилий? Например, насколько реально на практике предварительно вычислить огромные радужные таблицы для соленых паролей? Разве дополнительное «измерение» не делает это неразрешимым?
Я предполагаю, что эти анализы успешны только с очень простыми паролями (например, <7 символов без специальных символов) или когда администраторы сайта использовали некоторые очень ошибочные реализации хеширования (например, легко предсказуемые соли). Истинный?
PS: Повторное использование пароля — это плохо в любом случае. Пожалуйста, не используйте пароли повторно.