網站可能用我的密碼去嘗試登陸其他網站嗎?
打個比方,我在知乎或者其他網站註冊賬號密碼,這些網站會不會用我的賬號密碼去嘗試登陸其他常用網站?
又打個比方,我經常登陸的網站賬號密碼泄露(被黑了),會不會也出現上面的情況?
理論上講,最低的安全措施應該是:你提交給網站的是密碼的hash,然後網站存儲的是hash與隨機鹽拼起來再hash的結果。
然而現實是殘酷的。很多網站毫無安全意識。甚至有存儲明文密碼的。所以不要使用一樣的密碼。
很有可能,最理想的狀態是每個網站都設置不同的密碼。顯然一般人是很難做到的。其次一點的辦法是按網站分級來設置不同的密碼。比如一級網站(安全係數較高的網站),阿里,騰訊等;二級網站(網易,之類的);以此類推。即使一些不法網站獲取了你的密碼也無法撞庫進你重要的賬號。
你的密碼,在絕大多數的傳輸中並沒有本地取hash,而是明文發送到伺服器,至於網站怎麼做程序員怎麼寫,加密不加密,保存不保存明文密碼,拿不拿你的個人信息幹什麼事,完全取決於背後那些人的節操。
如果賬號密碼泄露且為明文或者已知可破解加密方式(比如md5,md5(md5),base64等),那麼完全可以通過泄露的密碼去嘗試登陸其他網站,如果是大規模的操作一般稱之為撞庫,比方我這裡就有對應user和pass字典,中國人常用的密碼字典,對應md5加密密碼字典等,在進行撞庫的漏洞測試的時候會使用: