撞库之所以持续有效,是因为别处的数据泄露可以直接转化为这里的登录机会。其经济模型简单而难看:只要重放足够多的密码,总会有一部分继续有效。
这让“唯一性”比“看起来复杂”更重要。一个随机但唯一的密码,往往比一个花哨却复用在五个站点的模式安全得多。
最无聊的修复办法仍然是正确的办法:用密码管理器为每个账户生成唯一凭据,尤其是和身份、支付、恢复绑定的账户。
现场笔记 05
撞库依然老套,但依然有效
当密码复用仍然能在足够多的账户上奏效时,攻击者根本不需要新奇技巧。
现场笔记 05
当密码复用仍然能在足够多的账户上奏效时,攻击者根本不需要新奇技巧。
撞库之所以持续有效,是因为别处的数据泄露可以直接转化为这里的登录机会。其经济模型简单而难看:只要重放足够多的密码,总会有一部分继续有效。
这让“唯一性”比“看起来复杂”更重要。一个随机但唯一的密码,往往比一个花哨却复用在五个站点的模式安全得多。
最无聊的修复办法仍然是正确的办法:用密码管理器为每个账户生成唯一凭据,尤其是和身份、支付、恢复绑定的账户。