web-dev-qa-db-ja.com

パスワードが弱いというメールを受け取りました、心配の理由はありますか?

最近、有名な会社から、使用しているパスワードは脆弱で簡単に推測できるというメールを受け取りました。

電子メールは情報を盗もうとすることなく合法であるように見え、「アカウントにログインし、アカウント->アカウントの詳細に移動してパスワードを変更する」とだけ言っており、偽のリンクなどは何もありません。

  • 彼らは私のパスワードが弱いことをどうやって知るのですか?
  • パスワードは保存時に暗号化されるため、私のパスワードを知らないはずはありませんか?
  • 彼らが私の情報を処理する方法について心配する必要がありますか?

メールの送信元の会社は、かなり有名で有名な会社です。私は彼らのサービスを使用していないか、数ヶ月ログインしていません。

passwords
68
darnok

彼らは、既知の脆弱で推測可能なパスワードに対してそれをテストするためにあなたのパスワードを読むことができる必要はありません。彼らがする必要があるすべてはあなたのパスワードに対してすべての推測可能なパスワードを試すことです。彼らはそうすることになっているように、それは適切にハッシュ化され、ソルト化されることができます。

パスワードハッシュへの正当なアクセス権があり、テストをバックグラウンドで実行できるため、これをすばやく実行できます。企業が使用する他の既知の漏洩パスワードデータベースからの漏洩パスワードを保持するサービスさえあります。

もちろん、一度テストすると、mightはパスワードを知っています(テスト方法によって異なります)が、攻撃者は同じ方法を使用できます。

したがって、不適切なパスワード処理の兆候はありません。心配する理由はありません。ただし、自動テストで見つかった場合は、パスワードは非常に推測されやすいため、できるだけ早く変更する必要があります。

148
schroeder

電子メールは完全に合法である可能性があります。パスワードのハッシュがデータ侵害の一部であるということを知るために、パスワードをプレーンテキストで知る必要はありません。それは、パスワードのハッシュがデータ侵害の中にあるということです。それが、habeeenpwnedのAPIですたとえば動作します。

さらに、パスワードが弱い場合は、おそらく変更する必要があります:)

14
kudrom

他の回答は問題ありませんが、質問で触れた少なくとも理論的な2番目の可能性があり、議論の余地があります。 (これは、そこにいるセキュリティの偏執狂にとっては完全に明白ですが、他のすべての人ではないかもしれません。)

If「弱いパスワードがあります」というメッセージが表示されたnotが主張するサイトから送信されたものであり、ifそのメッセージの送信者が-実際に外部の攻撃者である人物-盗聴する方法があり、そこに潜んであなたを待ってログインし、要求に応じてパスワードをリセットします。彼はあなたの古いパスワードが何であったか、それがどれほど弱いか文字列であったかをまったく知らなかったかもしれませんが)。

攻撃者はどのようにしてパスワードリセットセッションを盗聴できますか? *パスワード変更リクエストを受け入れるサイトの一部を侵害しました*インターネット接続を何らかの方法でスニッフィング*実際のサイトを模倣する別のサイトを指す役立つリンクをメールに記載しました

@darnokは、正しい2つの点に注意することについて言及しました:

  • 「メールは合法のようだ」と確認した
  • メールにはnotに便利なリンクがあり、「アカウントにログインして、アカウントにアクセスして、アカウントの詳細にアクセスしてパスワードを変更する」というアクションが推奨されていることに注意してください。

しかし、最近、このようなメールを受け取った場合、私はあなたが心配するのは当然だと思います。 Ifあなたはパスワードを盗もうとするリソースの豊富な試みの犠牲者でした、これはまさにそれがどのように見えるかです。

0
Steve Summit