Рейтинг:1

Сопоставление учетных записей с несколькими утечками данных с помощью их хешированных паролей

флаг it

Я слышал о нескольких случаях, когда исследователи OSINT смогли сопоставить учетные записи пользователей из нескольких утечек данных исключительно на основе их хешированных паролей, предполагая, что учетные записи имеют один и тот же пароль на разных сайтах. (Да, даже если не было других идентифицирующих характеристик, таких как повторно используемые имена пользователей, повторно используемые адреса электронной почты, отпечатки пальцев браузера или IP-адреса.)

Насколько мне известно, во всех этих утечках данных были пароли с солью, поэтому исследователи не могли просто сравнивать простые хэши между утечками.

Как они это делают? Будут ли они просто пытаться перебрать обе утечки, а затем сравнивать открытый текст, в котором они нашли совпадения? Существуют ли какие-либо приемы, которые можно использовать для уменьшения вычислительных усилий? Например, насколько реально на практике предварительно вычислить огромные радужные таблицы для соленых паролей? Разве дополнительное «измерение» не делает это неразрешимым?

Я предполагаю, что эти анализы успешны только с очень простыми паролями (например, <7 символов без специальных символов) или когда администраторы сайта использовали некоторые очень ошибочные реализации хеширования (например, легко предсказуемые соли). Истинный?

PS: Повторное использование пароля — это плохо в любом случае. Пожалуйста, не используйте пароли повторно.

DannyNiu avatar
флаг vu
Я почти уверен, что в этих случаях соль не использовалась или была неправильно сгенерирована. В любом случае, нам нужно увидеть их опубликованные результаты, чтобы знать наверняка.
флаг cn
если в одной из утечек были фактические пароли, а не хэш с солью, другие хэши с солью могут быть вычислены, если соли также утекли с хэшами. Это также может быть возможно, если один из паролей был сохранен без соли.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.