Title Text:If only somebody had warned them that the world would roll them like this.
Origin:https://xkcd.com/2176/
https://www.explainxkcd.com/wiki/index.php/2176:_How_Hacking_Works
駭客在做的事情
类似于538:安全,此漫画处理了多少人认为黑客和安全最佳实践,以及与实际情况有何不同。特别是,这部漫画指出了一些有安全意识的人的论点的缺陷,即在一张纸上写下密码是一个巨大的操作安全漏洞,而不是考虑到普通大众的威胁模型:重用的密码似乎从外泄良性的地方。
第一个面板显示了一群蒙面男子,他们显然是从另一个国家飞往美国,闯入了某人的房屋。他们找到一本标有“密码”的书,其中包含目标的所有密码,并使用对讲机进行报告。,而另一位则表示目标是写下密码的傻瓜。虽然将密码存储在纸上通常是一个错误的主意,但必须牢记非技术人员可能参与的替代方法(密码重用或计算机上未加密的密码文档)。这些方法容易利用得多。对于追求数量胜于质量的随便攻击者。此外,考虑到远程攻击者是潜在的攻击者,他们将密码存储在一张纸上,尽管这对于本地“当面”攻击者的安全性来说是可怕的,但实际上对于防止远程攻击者能够收集您的密码非常有效密码。
第二个面板详细介绍了通常如何执行此类攻击:首先,从不当安全的网站上盗窃了包含用户名/电子邮件和相关密码或含盐量不足的密码哈希的数据库。兰德尔(Randall)的例子虚构地违反了专门针对Smash Mouth乐队的小型论坛,但即使是大公司也无法幸免。假设未对密码进行哈希处理,然后骗子继续进行操作,并自动尝试登录流行的付款服务Venmo,并具有收集的凭证。即使成功率可能只是百分之几的几分之一,但由于攻击的规模和廉价性(可以自动进行,不需要骗子的持续努力),它仍然可能会获利。前面在792:密码重用中已经讨论了这种攻击。
尽管在纸上写密码可以使用户创建独特的复杂密码而不受人类记忆的限制,从而保护自己免受此类大规模破坏攻击的侵害,但他们的密码现在更容易受到家庭成员,密友,或同事。
大多数安全专家建议的防止此类攻击的方法是使用密码管理器-一种安全的应用程序,它将您的所有密码存储在只有您才能访问的加密保管库中。这样,您只需要记住一个密码-保管库的主密码-即可随意设置所有其他密码的长短,不同和随机。这意味着即使骗子设法获得了您的密码之一,他们也将无法使用它来访问任何其他站点,因此漫画中显示的攻击将失败。网站还可以支持双重身份验证,用户必须从第二个设备(例如手机应用程序或独立的钥匙扣)提供随机更改的代码才能登录。
标题文字指的是Smash Mouth的歌曲“ All Star ”,歌词的第一行是“有人曾经告诉我,世界将使我滚滚”。这位歌手随后承认自己不是“棚里最犀利的工具”,这与跨多个帐户(包括金融帐户)重复使用简单密码是一致的。
