您好,我们最近被社会工程学攻击,将管理员权限授予了一个被入侵的用户。根据日志显示,他启用了“数据浏览器”,除了冒充几位用户外,没有做其他任何事情。
这次事件对我们的论坛有什么影响?有没有什么严重的问题?
冒充者可以向他们展示用户的电子邮件,而无需记录该部分。
至于数据探索……
使用它可以接收几乎任何东西,包括每个用户的电子邮件、IP 地址、密码(好吧,是哈希和哈希算法,但之后你可以用它来获取密码)等等,并且只需单击一下即可导出。查询的创建和删除都不会被记录。
我建议发布一个全局置顶帖子和一个横幅,说明一个意图不良的用户已被授予管理员权限,他们的电子邮件、IP 地址等可能因此泄露给他们。并更改他们的密码。
9 个赞
但是密码会被哈希处理,所以那部分应该是安全的,对吧?
1 个赞
我认为他们可以通过(与哈希匹配的)算法来解密哈希。
1 个赞
有什么办法可以强制所有人重置密码吗?我已发布公告,但这无法覆盖所有人。
3 个赞
我不这么认为。您可以做的是使用 API 并向每个用户发送密码重置电子邮件。
1 个赞
什么?这不可能。密码学使我们无法从密码哈希中恢复密码,除非使用社会工程学。
简单来说,虽然泄露的密码哈希确实有很大的风险,但它可以帮助他人通过生日、姓名、电话号码等信息猜测密码,但没有人能仅凭密码哈希恢复密码。
4 个赞
关于盐和算法呢?
2 个赞
加密算法就像给密码拍张照片。同一个人确实会拍出相同的照片,但拿到照片的人无法仅凭照片恢复你的 DNA。\n\n密码加盐(password salt)可以提高密码的安全性,即使密码泄露,也更难被彩虹表等方式破解。
3 个赞
那么,即使泄露了所有 3 个密码,它们是否安全?
1 个赞
它并非绝对安全。如果用户有非常好的密码习惯,例如不使用ilovexxxx或姓名+生日作为密码,这些方法可以大大降低其密码被破解的概率。如果用户没有良好的密码习惯,他们在所有网站上的所有帐户都将面临风险。
5 个赞
您可以尝试在 Ruby 控制台中将所有人的密码重置为随机密码,这样他们登录时将被迫重置密码。
8 个赞
谢谢!
1 个赞
请让您的管理员和用户启用双重身份验证。
10 个赞
也这样做
3 个赞
如果您要重置所有人的密码,请务必设置一个横幅,告知人们他们需要更改密码,并准备好应对人们在更改密码时可能遇到的问题。
1 个赞
我认为将此答案标记为“解决方案”具有误导性。
1 个赞
我不认为它具有误导性。问题是关于某人暂时获得管理员访问权限的影响,答案是基本上所有东西都可能受到损害,因为攻击者可能在不留下痕迹的情况下下载(部分)数据库。
是的,密码哈希可能很难破解,但如果你有额外的上下文(例如用户电子邮件地址)并且可以从另一个来源访问泄露的密码,那么就有可能将一些东西拼凑起来并成功。
10 个赞
我理解伊森的意思是,仅凭哈希值和哈希算法就可以获得所有密码。
这正是我认为的意图,也是我觉得误导人的地方。也许这只会误导那些没有受过教育的人。一旦有机会,我会深入研究这个有趣的课题!
3 个赞
对于普通用户,您可以获得大部分。
一旦您拥有哈希、盐值且没有速率限制,使用密码列表进行暴力破解就不需要比原始 CPU 更多的资源了。
5 个赞