私の大学から、「定期的なチェック」の際にパスワードが「簡単に発見され、侵害の危険にさらされている」ことが判明したことを知らせるメールが送られてきました。私の理解では、パスワードがプレーンテキストで保存されていない限り、彼らが私のパスワードを定期的にチェックする方法はないはずです。私の質問:
更新:学校のIT部門は、パスワードをチェックするさまざまな方法を説明するページにリンクしました。ページの一部により、大学のアカウントでテストを実行し、テストで実際にパスワードが発見された場合はパスワードを表示することができました。表示されたパスワードは、スペースで区切られた英語の単語である古い(弱い)パスワードでした。答えてくれてありがとう。
あなたの理解は間違っています。パスワードが強力なソルトハッシュとして格納されている場合、管理者はgoodユーザーパスワードを見つけることはできませんが、一般的に使用されるパスワードのリストにあるものは見つけることができますリストのすべてのパスワードにハッシュとソルトを適用し、一致するものを探します。ただし、保存されたパスワードをソルト化しない方がはるかに簡単です。この場合、ユーザーごとに1回だけ実行する必要があるため、これを実行する必要があるため、これはmay保存されているパスワードがソルト化されていないことを示します。これはベストプラクティスに反します。
私の理解では、私のパスワードがプレーンテキストで保存されていない限り、彼らが私のパスワードを定期的にチェックする方法はないはずです。
実際には、割れがあります。
ハッシュされたパスワードに対してシステム管理者がクラッキングツール(John the Ripper、Hashcatなど)を実行する既知の方法があります。単純なパスワードを持つ人々は、ほんのわずかな時間で解読される可能性があります。したがって、彼らがそれを定義するときに、彼らがあなたのパスワードをクラックした場合、それは簡単に発見されて危険にさらされました。
引用するには この記事 リッパージョンについて:
ジョンをどのように使用するかはあなた次第です。システムのすべてのパスワードハッシュで定期的に実行して、ユーザーのパスワードのどの割合が安全でないかを知ることができます。次に、パスワードの割合を減らすためにパスワードポリシーを変更する方法を検討します(おそらく最小長を増やします)。弱いパスワードを持つユーザーに連絡して、パスワードの変更を依頼することをお勧めします。 または、問題が何らかのユーザー教育プログラムを必要とし、それらを書き留めなくても覚えられるより安全なパスワードを選択できるようにする場合もあります。
あなたの大学はあなたのパスワードを平文で保存していないかもしれません。彼らはあなたのパスワードの平文を取得する非常に簡単な方法を持っています、そして私は彼らが少なくとも1日に数回それにアクセスすることができると思います。
ログオンするたびに、パスワードをプレーンテキストで提供します。
オンラインクラスを管理したり、成績を確認したりするサイトなど、ホストしているアプリケーションにログインしていて、オンラインアプリケーションのソースコードを持っている場合は、平文のパスワードを保存せずに簡単にアクセスできます。またはそれを別のシステムに送信し、その時点でパスワードのセキュリティをチェックできます。
また、シングルサインオンサービスを使用している場合は、ログイン時にパスワードの強度を確認することもできます。
しかし、それはまだ非常に魚のようです。大学のIT部門に連絡して、パスワードが安全に保存されていることを確認してください。彼らがあなたのパスワードをどのようにチェックしたかについて、先のとがった質問をしてください。
そして、私のアドバイスの残りの部分は、標準のインターネット認証のアドバイスに従います。パスワードを変更する場合は、メールで送信されたリンクではなく、通常の方法で変更してください。パスワードマネージャーを使用して、長いランダムパスワードを保存および生成します。 (理想的には、パスワードは2つだけ知っておく必要があります。コンピューターにログインするためのパスワードと、パスワードマネージャーにログインするためのパスワードです。)いかなる目的でもパスワードを再利用しないでください。
また、大学のIT部門と話しているときに、2要素認証について質問します。
ここで行う必要があるいくつかの仮定がありますが、私があなたが参照する大学のパスワードはActive Directoryアカウントのパスワードであると私が想像するでしょう。 Active Directoryパスワードは、ソルトされないNTLMハッシュ形式のパスワードを扱います。これを念頭に置いて、異なる環境で同じパスワードを使用すると、ハッシュ値は同じになります。
Troy Huntは Pwned Passwords と呼ばれるサービスを提供しており、管理者は5億1700万のパスワードハッシュをダウンロードできます。学校のIT部門がActive Directoryのパスワードハッシュを、前述のデータに何度も現れるハッシュと比較している可能性があります。
パスワードをプレーンテキストで保存している間はときどき発生しますが(主に独自仕様のWebアプリケーションで)、前述のシナリオは、それらがどのように行われたかに関する私の仮定ですパスワードが弱いと判断しました。
それが表示したパスワードは、スペースで区切られた英語の単語である、私の古い(弱い)パスワードでした。
参考までに-いいえ。それは言葉とその数に依存します。いくつかのランダムな辞書の単語を組み合わせることは、実際には非常に優れたパスワードです。
もちろん、関連するxkcdにリンクする必要があります。