Am auzit despre mai multe situații în care cercetătorii OSINT au reușit să potrivească conturile de utilizator din mai multe scurgeri de date doar pe baza parolelor lor codificate, presupunând că conturile aveau aceeași parolă pe site-uri diferite. (Da, chiar și atunci când nu existau alte caracteristici de identificare, cum ar fi numele de utilizator reutilizate, adrese de e-mail reutilizate, amprentele browserului sau IP-urile.)
Din câte știu eu, toate aceste scurgeri de date aveau parole sărate, așa că cercetătorii nu au putut compara pur și simplu hashe-urile simple dintre scurgeri.
Cum au făcut-o? Ar încerca doar să forțeze ambele scurgeri și apoi să compare textul simplu de unde au găsit potriviri? Există trucuri care pot fi folosite pentru a reduce efortul de calcul? De exemplu, cât de fezabil este în practică precalcularea unor tabele curcubeu uriașe pentru parolele sărate? Nu cumva „dimensiunea” suplimentară face acest lucru insolubil?
Presupun că aceste analize reușesc doar cu parole foarte simple (de exemplu, <7 caractere fără simboluri speciale) sau atunci când administratorii site-ului au folosit niște implementări de hashing foarte defecte (de exemplu, săruri ușor de previzibil). Adevărat?
PS: reutilizarea parolei este proastă în orice caz. Vă rugăm să nu reutilizați parolele.
