網站可能用我的密碼去嘗試登陸其他網站嗎?
打個比方,我在知乎或者其他網站註冊賬號密碼,這些網站會不會用我的賬號密碼去嘗試登陸其他常用網站?
又打個比方,我經常登陸的網站賬號密碼泄露(被黑了),會不會也出現上面的情況?
理論上講,最低的安全措施應該是:你提交給網站的是密碼的hash,然後網站存儲的是hash與隨機鹽拼起來再hash的結果。
然而現實是殘酷的。很多網站毫無安全意識。甚至有存儲明文密碼的。所以不要使用一樣的密碼。
很有可能,最理想的狀態是每個網站都設置不同的密碼。顯然一般人是很難做到的。其次一點的辦法是按網站分級來設置不同的密碼。比如一級網站(安全係數較高的網站),阿里,騰訊等;二級網站(網易,之類的);以此類推。即使一些不法網站獲取了你的密碼也無法撞庫進你重要的賬號。
你的密碼,在絕大多數的傳輸中並沒有本地取hash,而是明文發送到伺服器,至於網站怎麼做程序員怎麼寫,加密不加密,保存不保存明文密碼,拿不拿你的個人信息幹什麼事,完全取決於背後那些人的節操。
如果賬號密碼泄露且為明文或者已知可破解加密方式(比如md5,md5(md5),base64等),那麼完全可以通過泄露的密碼去嘗試登陸其他網站,如果是大規模的操作一般稱之為撞庫,比方我這裡就有對應user和pass字典,中國人常用的密碼字典,對應md5加密密碼字典等,在進行撞庫的漏洞測試的時候會使用:
另外即使你的密碼沒有泄露,那麼也可以通過常用top密碼字典,收集信息自己製作字典,爆破等方式來嘗試破解密碼,建議密碼設置不要有什麼規律且位數和組合多一些。
謝邀。常識問題,網站資料庫存儲的是你密碼的哈希值。理論上不可破解,誰也無法獲得你的密碼,除了你。
會加密的。毫無用處,舉例MD5,單向加密,比如你的密碼是12345,實際上網站存到的是一堆加密後的密碼,你每次登陸都是比照加密後的密文,所以網站拿了你的密碼去嘗試別的地方,情況就是在比照 加密後的加密文,自然不能被泄露了。
一般情況下,網站存儲的都是你密碼加密後的東西,一般加密方式也都是哈希加密,所以正常情況下基本不存在破出來的可能,但是現在的一些哈希db網站可以查哈希的明文,那麼如果你的密碼簡單了,然後又被黑客入侵了,並且破出來明文,正好社工到你別的網站也註冊有差不多的賬號就會去試著登你的賬號,一般也就這樣了
有一種說法,叫做撞庫
推薦閱讀:
