密码破解=泄露？

Question

最近，我在一个社交网络上的账户遭到了攻击。攻击者设法破解了密码，但多亏了两个因素，这还不足以访问该帐户。我已经收到了一次尝试的通知和一个一次性的密码。

我被破解的密码很厚--它很长，里面有字母和数字，没有人能猜到，所以我所能想到的就是蛮力。我已经更改了密码，但它也被其他一些网站使用了，这让我有些困扰。

我知道用户的密码是以散列形式存储在网站数据库中的，而哈希有冲突--当两个不同的字符串具有相同的散列时。因此，攻击者可能实际上没有强暴我的实际密码，而只是一些字符串，其哈希与我的实际密码相同。

我的问题是:这种可能性有多大？密码中断的事实是否意味着攻击者现在知道了我的实际密码？

Answer 1

你是对的，哈希冲突是一件事，但它与你的情况一点关系都没有。在一个好的散列函数中的凸起应该是非常罕见的，以至于没有一个人知道它们的情况。因此，在任意的强人列表中都存在两个密码的概率非常、非常、非常小，两者都提供相同的哈希。

所以有人知道你的密码。我只能假设您使用的一个站点被黑客入侵，攻击者现在正在其他站点的帐户上尝试您的密码。你的账户在没有2FA的情况下使用这个密码已经被攻破了。这就是为什么你不应该重复使用密码！

那该怎么办呢？您需要更改您的密码在每个单一的网站，你已经使用了这个，你需要改变他们的独特和强大的。不再重复使用。这将是一个很好的时间开始使用密码管理器来帮助您记住所有这些新的密码，您将需要。

Answer 2

我知道用户的密码以散列形式存储在网站的数据库中。

好吧，应该是这样的，但有些网站过去的安全性很差，直接存储纯文本密码或几乎一样糟糕的加密密码。希望现在在严肃的网站上这不是真的，但我不会对它下太大的赌注。

但是如果一个网站被黑客入侵，很多事情都是可能的。散列确实可以防止用户数据库被盗。但是，如果攻击者设法添加了一些拦截连接尝试的代码，怎么办？该代码将以明文形式访问用户名和密码，并可将其发回给攻击者。在这里，具有良好安全实践的严肃站点应该在攻击者能够设置所有这些之前检测到入侵，但我敢打赌这里会更少。

最重要的是，你至少用过一次输入密码的机器中有什么被黑了？攻击者只知道密码..。