Question:
Vous avez un e-mail disant que mon mot de passe est faible, motif de préoccupation?
darnok
2019-10-23 15:22:40 UTC
view on stackexchange narkive permalink

J'ai récemment reçu un e-mail d'une entreprise bien connue indiquant que le mot de passe que j'utilise est faible et peut être facilement deviné.

L'e-mail semble légitime sans tentative de vol d'informations, ils disent seulement " connectez-vous à votre compte et allez dans account-> account details pour changer votre mot de passe "sans lien qu'ils peuvent simuler ou quoi que ce soit.

  • Comment savent-ils que mon mot de passe est faible?
  • Ne sont-ils pas censés ne pas connaître mon mot de passe car il est encodé lors de leur enregistrement?
  • Dois-je m'inquiéter de la manière dont ils traitent mes informations?

La société d'où provient l'e-mail est une société assez importante et bien connue. Je n'ai pas utilisé leur service ni connecté depuis quelques mois.

Github ^ H ^ H ^ H ^ H ^ H ^ H Une entreprise bien connue est connue pour utiliser l'API PwnedPasswords de HaveIBeenPwned et a envoyé des e-mails légitimes au cours des dernières semaines.Ils vérifient votre mot de passe lorsque vous vous connectez, ne le stockent pas en texte brut et marquent votre compte jusqu'à ce que vous changiez votre mot de passe.Utilisez un gestionnaire de mots de passe et sélectionnez un mot de passe aléatoire et unique pour chaque site que vous pouvez.
Un motif de préoccupation?Seulement si c'est de votre propre compte.
Que signifie «Github ^ H ^ H ^ H ^ H ^ H ^ H»?
@NathanHinchey ^ H représente le caractère de retour arrière, donc le commentaire est censé donner l'impression que Ghedipunk a d'abord écrit "Github", puis a décidé de supprimer le nom et d'écrire "une entreprise bien connue" à la place, comme dans "Je ne veux pasvous dire qui l'a fait, mais ... ah, peu importe, je vous le dirai quand même "
Trois réponses:
schroeder
2019-10-23 15:32:40 UTC
view on stackexchange narkive permalink

Ils n'ont pas besoin de pouvoir lire votre mot de passe pour le tester par rapport à des mots de passe faibles et devinables connus. Tout ce qu'ils doivent faire est d'essayer tous les mots de passe devinables par rapport à votre mot de passe. Il peut être correctement haché et salé, comme ils sont censés le faire.

Ils peuvent le faire rapidement car ils ont un accès légitime aux hachages de mots de passe et peuvent simplement exécuter des tests en arrière-plan. Il existe même des services que les entreprises peuvent utiliser et qui contiennent des mots de passe provenant d'autres bases de données de mots de passe connues.

Bien sûr, une fois qu'ils l'ont testé, ils pourraient savoir quel est votre mot de passe. est (en fonction de la façon dont ils l'ont testé), mais les attaquants peuvent également utiliser la même méthode.

Donc, il n'y a aucune indication d'une mauvaise gestion des mots de passe. Aucune raison de s'inquiéter. Mais, si leurs tests automatisés l'ont trouvé, votre mot de passe est probablement très devinable et devrait être changé dès que possible.

Shroeder a réussi avec cette réponse.Vous pouvez également consulter les en-têtes complets de l'e-mail que vous avez reçu pour voir si des contrôles SPF ou DKIM ont réussi.Si les en-têtes indiquent que ces vérifications ont réussi, il est peu probable que l'e-mail ait été usurpé.
Même si l'e-mail a été usurpé, changer périodiquement votre mot de passe et s'assurer qu'il est fort est de toute façon une bonne idée.Assurez-vous simplement de le faire en utilisant le site Web de l'entreprise et non via un lien inclus dans l'e-mail.
juste pour préciser qu'ils n'ont même pas besoin d'essayer de se connecter avec ces mots de passe faibles sur votre compte: ils peuvent simplement générer les hachages de tous les mots de passe «faibles» et envoyer un e-mail à toute personne qui a un hachage correspondant dans la base de données.
"Votre mot de passe est facile à déchiffrer" "Comment le savez-vous?""Eh bien, nous l'avons craqué."
@FrankHopkins Cela ne fonctionne que pour les hachages non salés, ce qui serait toujours préoccupant car cela signifie qu'ils ne respectent pas les normes de sécurité de base.
@Morfildur true dans le sens où ils ne peuvent pas utiliser le même hachage pour chaque compte, mais le point principal que je voulais souligner était qu'ils n'avaient pas besoin de tenter de se connecter ni d'être sûr d'avoir trouvé votre mot de passe (collision de hachage toujours possible même si potentiellement improbableselon la méthode de hachage)
@SethR La rotation périodique de votre mot de passe est un mauvais conseil.Il ne renforce pas la sécurité et peut l'affaiblir.S'assurer que votre mot de passe est fort est bien sûr un excellent conseil.
@martinbonner Je pense que vous avez des choses confuses.Forcer les changements de mot de passe selon un calendrier serré conduit à des choix de mot de passe non sécurisés.Changer périodiquement vos mots de passe en mots de passe forts est un bon conseil.
@schroeder Changer une fois les mots de passe en mots de passe forts est un bon conseil.Il y a peu d'avantages à les changer à nouveau (à moins qu'il n'y ait des raisons de penser qu'ils ont été compromis, bien sûr).C'est le «périodiquement» auquel je leur fais objection.
@MartinBonner à moins que vous ne sachiez pas qu'il a été compromis.Il y a une raison pour laquelle des produits comme CyberArk changent les mots de passe une fois utilisés.Dans mon environnement, si les mots de passe * jamais * expiraient, je pourrais avoir des personnes ayant un accès très sensible aux données avec des mots de passe qui existent depuis 15 ans.Les menaces contre ces comptes sont intrinsèquement discrètes et silencieuses et ont le désir de maintenir l'accès aussi longtemps que possible.Je dois insister sur des changements périodiques pour atténuer cette menace qui ne s'exposera jamais.
@MartinBonner Dépend du potentiel de risque ... Environnement plus sensible -> potentiel de risque accru.Plus de risques potentiels -> Plus d'attaques bruteforce subies -> Plus d'attaques subies -> Le cycle en direct des hachages doit être plus court.
Ne serait-il pas plus simple pour eux de simplement vérifier la complexité de votre mot de passe (ou de voir s'il est dans des mots de passe pwned) lorsque vous vous connectez?Nul besoin de gaspiller de l'énergie informatique pour déchiffrer des millions de mots de passe.Bien sûr, cela n'attraperait pas les comptes morts, cependant.
@Anders "Je n'ai pas utilisé leur service ou connecté depuis quelques mois" - et je ne suis pas sûr de ce que je pense de l'inspection côté serveur des mots de passe en clair à des fins autres que l'authentification.
J'avertirais également la personne de cliquer sur les liens contenus dans l'e-mail.Accédez au site Web manuellement et réinitialisez votre mot de passe.
@KeiNagase OP a déclaré qu'il n'y avait pas de lien
@schroeder Je pense que cela pourrait être bon, notamment pour les futurs lecteurs qui ont un problème similaire à l'OP.leur e-mail peut contenir un lien et peut être une attaque de phishing
kudrom
2019-10-23 15:35:54 UTC
view on stackexchange narkive permalink

L'e-mail peut être totalement légitime, vous n'avez pas besoin de connaître le mot de passe en texte clair pour savoir qu'il a fait partie d'une violation de données, juste que le hachage de votre mot de passe est dans une violation de données, c'est ainsi que le L'API de haveibeenpwned fonctionne par exemple.

De plus, si votre mot de passe est faible, vous devriez probablement le changer :)

Ceci est un résumé de la réponse précédente
Je sais mec, je dois l'avoir publié à la même minute :)
Tel que libellé, ce n'est en fait pas la même chose que l'autre réponse.Cela implique que c'est le hachage du mot de passe qui est vérifié par rapport aux hachages divulgués (ce qui ne rend pas le mot de passe faible en soi, juste faible parce que le hachage a été divulgué), ce qui impliquerait que la fuite et le système actuel ne le font pas.salt hashes, ou que la fuite provient du système actuel!Si vous avez un hachage salé, vous ne pouvez pas le comparer à d'autres hachages du même mot de passe (salé ou autre).Vous ne pouvez pas utiliser l'API haveibeenpwned avec un hachage correctement salé, vous devez connaître le texte clair.
@jcaron qui rendrait cette réponse erronée, en supposant les meilleures pratiques.
@schroeder qui rend votre commentaire "faux", en supposant pédantisme.c'est-à-dire que cette réponse aborde utilement un aspect possible de la question donc, bien qu'elle ne soit pas aussi correcte que certains, elle est suffisamment utile pour laisser tranquille.|On peut dire la même chose de mon commentaire :-).
Steve Summit
2019-10-26 01:20:50 UTC
view on stackexchange narkive permalink

Les autres réponses sont bonnes, mais il y a une deuxième possibilité au moins théorique que vous avez abordée dans votre question et qui mérite d'être discutée. (Ceci est tout à fait évident pour les paranoïdes de sécurité, mais peut-être pas pour tout le monde.)

Si le message "vous avez un mot de passe faible" n'a pas proviennent du site sur lequel il prétend, et si l'expéditeur de ce message - qui est en fait un attaquant extérieur - a un moyen d'écouter, et se cache là en attendant que vous, connectez-vous et réinitialisez votre mot de passe comme demandé, puis boum, il a mis la main sur votre nouveau mot de passe "plus sécurisé" (même s'il n'avait peut-être aucune idée de votre ancien mot de passe, ni de sa faiblesse ou de sa chaîne).

Comment un attaquant pourrait-il écouter votre session de réinitialisation de mot de passe? * a compromis la partie du site qui accepte les demandes de changement de mot de passe * reniflant votre connexion Internet d'une manière ou d'une autre * vous a donné un lien utile dans l'e-mail qui pointe vers un autre site qui imite le vrai site

@darnok a mentionné faire attention aux deux bonnes choses:

  • a vérifié que "l'e-mail semble légitime"
  • a noté que l'e-mail di d pas avoir un lien pratique, que l'action suggérée était de "vous connecter à votre compte et d'accéder aux détails du compte-> pour changer votre mot de passe"

Mais , ces jours-ci, si vous recevez un tel e-mail, je dirais que vous avez raison de vous inquiéter. Si vous avez été victime d'une tentative de vol de votre mot de passe avec des ressources suffisantes, voici à quoi cela pourrait ressembler.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...