ฉันเคยได้ยินเกี่ยวกับหลายๆ กรณีที่นักวิจัยของ OSINT สามารถจับคู่บัญชีผู้ใช้จากการรั่วไหลของข้อมูลหลายรายการโดยใช้รหัสผ่านที่แฮชเท่านั้น โดยสมมติว่าบัญชีมีรหัสผ่านเดียวกันในไซต์ต่างๆ (ใช่ แม้ว่าจะไม่มีลักษณะระบุอื่นๆ เช่น ชื่อผู้ใช้ที่ใช้ซ้ำ ที่อยู่อีเมลที่ใช้ซ้ำ ลายนิ้วมือของเบราว์เซอร์ หรือ IP)
เท่าที่ฉันทราบ การรั่วไหลของข้อมูลเหล่านี้ล้วนมีรหัสผ่านที่เค็ม ดังนั้นนักวิจัยจึงไม่สามารถเปรียบเทียบแฮชธรรมดาระหว่างการรั่วไหลได้
พวกเขาทำได้อย่างไร? พวกเขาจะลองบังคับการรั่วไหลของทั้งสองอย่างดุร้ายแล้วเปรียบเทียบข้อความธรรมดาที่พวกเขาตรงกันหรือไม่? มีเคล็ดลับใดบ้างที่สามารถใช้เพื่อลดความพยายามในการคำนวณ? เช่น เป็นไปได้อย่างไรในทางปฏิบัติที่จะคำนวณตารางสายรุ้งขนาดใหญ่ล่วงหน้าสำหรับรหัสผ่านที่เค็ม "มิติ" พิเศษทำให้สิ่งนี้ยากขึ้นหรือไม่?
ฉันถือว่าการวิเคราะห์เหล่านี้ประสบความสำเร็จด้วยรหัสผ่านง่ายๆ เท่านั้น (เช่น <7 ตัวอักษรโดยไม่มีสัญลักษณ์พิเศษ) หรือเมื่อผู้ดูแลไซต์ใช้งานการแฮชที่มีข้อบกพร่องอย่างมาก (เช่น เกลือที่คาดเดาได้ง่าย) จริง?
PS: การใช้รหัสผ่านซ้ำนั้นไม่ดีในทุกกรณี กรุณาอย่าใช้รหัสผ่านซ้ำ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
