Score:0

ฉันจะโน้มน้าวให้บุคคลตามกฎหมายได้อย่างไรเมื่อรหัสผ่านเป็นไปได้ว่ารหัสผ่านนั้นถูกเก็บไว้ในที่ราบ?

ธง ru

หากผู้ใช้มีรหัสผ่านในระบบที่มีอักขระ ASCII 28 ตัว ในระบบ ให้บอกว่าเป็น my.gov.au และเมื่อไม่กี่ปีที่ผ่านมา ข้อบกพร่องถูกค้นพบซึ่งจำกัดรหัสผ่านไว้ที่ 20 ตัวอักษร และตอนนี้ผู้ใช้ค้นพบว่า รหัสผ่านสำหรับไซต์คือรหัสผ่านเดิม 28 อักขระที่ถูกตัดเหลือ 20 อักขระ มีเหตุผลหรือไม่ที่จะสรุปได้ว่ารหัสผ่านถูกจัดเก็บไว้ในที่ราบ และเราจะโต้แย้งเรื่องนี้กับบุคคลที่มีพื้นฐานด้านกฎหมายมากกว่าทฤษฎีสารสนเทศได้อย่างไร (เช่น . การแฮชเป็นวิธีหนึ่ง เป็นต้น)

Morrolan avatar
ng flag
ฉันไม่จำเป็นต้องเห็นด้วยที่นั่น เป็นไปได้โดยสิ้นเชิงที่พวกเขาตัดรหัสผ่าน **ก่อน** แฮช เพื่อจุดประสงค์ในการอัปเดตหรือเปรียบเทียบ ความจริงที่ว่าพวกเขาตัดมันแยกจากกันไม่ได้พิสูจน์ว่าพวกเขาเก็บรหัสผ่านไว้ในข้อความธรรมดา
ph flag
คุณต้องการโน้มน้าวพวกเขาว่า "เป็นไปได้" หรือไม่? ดูเหมือนว่าแถบต่ำมาก ผู้ที่ไม่เชี่ยวชาญด้านเทคนิคอาจไม่รู้ด้วยซ้ำว่ามีทางเลือกอื่น
Score:1
ธง ng

ฉันเป็นคนทางเทคนิคและเข้าใจข้อโต้แย้งที่เกิดขึ้นในคำถาม แต่ก่อนที่ฉันจะเริ่มเข้าข้างข้อโต้แย้งเหล่านี้เพื่อยืนยันความไม่ปลอดภัยของระบบจัดเก็บรหัสผ่าน ทั้งในอดีตหรือปัจจุบัน ฉันต้องมั่นใจว่าเมื่อยอมรับอักขระ ASCII 28 ตัว รหัสผ่านที่พิมพ์โดยมีข้อผิดพลาดเกิน 20 ตัวไทย ตัวละครถูกปฏิเสธ หากไม่เป็นเช่นนั้น เป็นไปได้ว่าตั้งแต่เริ่มต้น รหัสผ่านมีอักขระ 20 ตัวแรกเท่านั้นที่มีนัยสำคัญ และนั่นคือขีดจำกัดที่บังคับใช้แล้วในขณะนี้ และสำหรับรหัสผ่านที่เหลือจะถูกเก็บและถูกแฮชรหัสผ่านอย่างเหมาะสม

ถึงอย่างนั้นฉันก็ไม่ปักใจเชื่อ"ว่ารหัสผ่าน เป็น เก็บไว้ในที่ราบ" เป็นไปได้โดยสิ้นเชิงว่าตอนนี้รหัสผ่านของเขาถูกจัดเก็บอย่างถูกต้องด้วยรหัสผ่านแฮช โดยมีการแปลงจากรูปแบบเก่าเป็นรูปแบบใหม่เมื่อรหัสผ่านหรืออักขระ 20 ตัวแรก ถูกใช้ครั้งแรกในระบบใหม่ ดังกล่าว การแปลงรหัสผ่านแบบเดิมเป็นรูปแบบรหัสผ่านใหม่อย่างราบรื่นเป็นขั้นตอนมาตรฐาน

ฉันจะไม่เชื่อด้วยซ้ำว่ารหัสผ่าน เคยเป็น เก็บไว้ในที่ราบเป็นไปได้โดยสิ้นเชิงว่ารหัสผ่านนั้นถูกเข้ารหัสด้วยการเข้ารหัสแบบย้อนกลับได้และรหัสลับบางอย่าง นั่นจะไม่แฮชรหัสผ่านอย่างถูกต้อง แต่ก็ยังดีกว่า "แบบธรรมดา" (และค่อนข้างน่าพอใจหากการถอดรหัสและการจัดการรหัสผ่านเกิดขึ้นเฉพาะในสภาพแวดล้อมที่ปลอดภัย เช่น HSM)

ฉันไม่ได้บอกว่าเป็นไปไม่ได้ที่จะใช้ "เคล็ดลับความคิดของเจได" และโน้มน้าวใจผู้รู้กฎหมายในบางสิ่ง เช่นเดียวกับที่ทำกับการรับรองเครื่องบิน แต่นั่นเป็นสิ่งที่ฉันไม่ยอม นอกจากนี้ยังนอกหัวข้อ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา