Vì sao nên lo lắng khi website nào đó bị rò rỉ pasword? Cần làm gì trong tình huống đó?
Duy Luân
Duy Luân
15/12/16 Bình luận: 46 Lượt xem: 18,429

Vì sao nên lo lắng khi website nào đó bị rò rỉ pasword? Cần làm gì trong tình huống đó?

Thảo luận trong 'Khoa học' bắt đầu bởi Duy Luân, 15/12/16. Trả lời: 46, Xem: 18429.

  1. Duy Luân

    Duy Luân Không có gì!

    Tham gia:
    16/2/08
    Được thích:
    264,405
    Best Answers:
    10
    Duy Luân
    VIP
    #1 Duy Luân, 15/12/16
    Sửa lần cuối: 16/12/16
    Cơ sở dữ liệu chứa password của chúng tôi đã bị đột nhập, nhưng đừng lo, mật khẩu của bạn đã được mã hóa. Chúng ta rất thường hay nghe những lời nói như thế này khi một dịch vụ online bị hack hay vô tình khiến password của người dùng bị rò rỉ lên mạng. Ngay cả một công ty lớn như Yahoo mà cũng có thể trở thành nạn nhân thì những công ty nhỏ hơn sẽ ra sao? Nhưng hãng đã nói là password mã hóa rồi vậy thì còn gì đâu mà lo? Không, vẫn còn nhiều thứ cần lo lắm, đặc biệt là khi bạn đã từng đăng ký tài khoản với dịch vụ vừa bị tấn công.


    Password nên được lưu trữ như thế nào?

    Khi bạn tạo một account mới, bạn được yêu cầu nhập password. Password này không được lưu trữ nguyên vẹn mà sẽ được xử lý (hash) để tạo thành một chuỗi kí tự dài ngoằng bất kì, ví dụ cụm từ duyluandethuong sẽ trở thành TYewfbhfgfwifwhfewf. Người ta chỉ lưu chuỗi dài ngoằng này vào cơ sở dữ liệu thay vì lưu password của bạn. Rồi cứ mỗi lần bạn đăng nhập, web hay app sẽ so sánh chuỗi trong cơ sở dữ liệu với chuỗi mới được xử lý từ password bạn nhập vào, nếu khớp thì bạn được vào tiếp, còn không thì sẽ báo lỗi. Theo nguyên tắc, web và app sẽ không bao giờ được lưu password của bạn xuống ổ đĩa cứng.

    Cái hay của chuỗi hash này đó là nó không thể dịch ngược lại thành chuỗi gốc được, không bao giờ. Vậy nên người ta mới chọn cách này để đảm bảo hacker không bao giờ biết mật khẩu người dùng. Nó khác với việc mã hóa, vốn có thể dịch ngược lại cụm từ nguyên gốc. Chuỗi hash cũng sẽ thay đổi giá trị khi chuỗi gốc thay đổi dù chỉ một bit.

    Hacker khi trộm được password của bạn cũng không thể biết mật khẩu thật sự của bạn là gì. Thay vào đó, hắn ta sẽ so sánh chuỗi hash lưu trong database vừa ăn cắp với các chuỗi hash của những password phổ biến, dạng như iloveyou hay 1234567890. Việc so sánh này có thể mất thời gian kha khá nhưng cũng có thể chỉ rất nhanh tùy trình độ của hacker.

    Đang tải Luu_mat_khau_password_hack.png…

    Cái nguy hiểm của chuỗi hash đó là nếu bạn dùng cùng 1 thuật toán hash, 1 password ở nhiều website khác nhau sẽ sinh ra cùng một chuỗi hash giống hệt nhau. Hay trong cùng 1 website, nếu hai người dùng chọn password giống nhau thì hash cũng sẽ tương tự nhau nên không an toàn, hacker có thể đoán biết được password tài khoản ngân hàng của bạn trong khi hắn chỉ hack vào database của một cửa hàng sách online mà thôi.

    Để ngăn ngừa chuyện này, người dùng dùng thêm salt. Thay vì chỉ tạo chuỗi hash từ password, người ta sẽ nối thêm một số kí tự vào đầu hoặc cuối password trước khi hash, đây chính là "salt". Ví dụ: password deptraikhoaito khi nối salt sẽ thành deptraikhoaitoduyluan, lúc đó cái hash ra rõ ràng khác với password ban đầu rồi. Salt có thể là username, có thể là ngày tạo tài khoản, v.v. Mỗi người dùng đều có salt riêng của họ nên ngay cả khi password giống thì kết quả sau khi hash vẫn khác nhau. Tất cả những thứ này đều do server quản lý, bạn không cần làm gì thêm. Đây cũng là lý do vì sao các dịch vụ online thường khuyên bạn là không nên lo lắng khi password của họ bị rò rỉ.

    Hash và salt rồi vậy sao phải lo?

    Nếu web hay app làm tốt và tuân theo đầy đủ các tiêu chuẩn thì sẽ không vấn đề gì, nhưng nếu họ chỉ đơn thuần hash mà không salt thì sẽ dễ bị hacker đoán ra mật khẩu ngay. Đừng tưởng chuyện này dễ và ai cũng làm. Năm 2012, LinkedIn từng bị trộm mất 6,5 triệu password đã hash mà không salt. Công ty lớn còn như vậy thì các công ty nhỏ ra sao?

    Mà một khi password hash không salt bị rò rỉ, biết đâu có một web hay app nào khác cũng chơi theo cách tương tự. Như vậy là hacker đã đoán được phần nào password của bạn, nếu đối chiếu với danh sách các mật khẩu phổ biến mà hacker nắm trong tay thì việc tìm lại được pass gốc là chuyện hoàn toàn khả thi. Khi đã có pass gốc, có trời mới biết hacker dự tính làm gì tiếp theo.

    Nên làm gì trong trường hợp website bạn dùng bị rò rỉ mật khẩu?

    Trước tiên hãy lên web đó đổi password sau khi nhận được thông báo từ công ty chủ quản web hoặc app. Đừng vội vàng đổi pass ngay khi bạn nghe tin web bị hack, biết đâu hacker vẫn còn cài cắm một số thứ gì đó trong server của web thì sao? Sẽ cần thời gian để đội ngũ quản trị website dọn dẹp và chắc chắn hệ thống của họ đã sạch.

    Thứ hai, nếu có dịch vụ nào dùng chung password với web hay app vừa bị hack, hãy đổi pass luôn của tài khoản đó. Điều này đặt biệt hữu ích nếu bạn dùng chung password giữa nhiều website với nhau. Những thứ bạn nên đổi pass đầu tiên là:
    1. Mật khẩu đăng nhập tài khoản ngân hàng online
    2. Mật khẩu email
    3. Mật khẩu đăng nhập vào các dịch vụ của nội bộ công ty
    4. Facebook và các mạng xã hội mà bạn có tham gia (vì đây là mục tiêu hay bị hack)
    Nếu được, bạn hãy dùng các app quản lý mật khẩu như 1Password, LastPass vì chúng sẽ chọn lấy một chuỗi ngẫu nhiên để dùng làm password nên rất khó để hacker đoán ngay cả khi web không salt đi chăng nữa. Nếu bạn nhớ được chuỗi này thì tốt quá, còn không cứ để chuyện đó cho 1Password hay LastPass xử lý.

    Đang tải hacker_password_hack_luu_database.jpg…

    Bạn cũng nên cân nhắc kích hoạt bảo mật 2 lớp cho các tài khoản quan trọng, ví dụ như email, Dropbox chứa file làm việc, Facebook... Tính năng này có nghĩa là sau khi bạn nhập password bình thường, bạn sẽ được hỏi thêm một số code nhắn qua SMS hoặc email. Chuỗi code này chỉ có bạn mới nhận được, hacker có biết chính xác password thì cũng không cách gì vào tới bên trong. Facebook là cái bạn nên bật đầu tiên vì hiện tại mình thấy rất nhiều bạn than thở bị hack tài khoản hoặc có tin nhắn 2 lớp hiện ra trong khi bạn đó chẳng đụng gì tới account cả.

    Tham khảo: HowToGeek
     

    File đính kèm:

    anticafe, onefuture, xuanquyhnvn9 người khác thích nội dung này.
    #1 Duy Luân, 15/12/16
    Sửa lần cuối: 16/12/16
  2. Bạn và 500 Anh Em

    Tham gia:
    16/10/16
    Được thích:
    2,381
    Best Answers:
    0
    Bạn và 500 Anh Em
    CAO CẤP
    Liên quan vụ Yahoo bị hack hơn 1 tỷ tài khoản năm 2013.
     
  3. nobugz

    Tham gia:
    10/4/12
    Được thích:
    291
    Best Answers:
    0
    nobugz
    TÍCH CỰC
    Hình kiếm ở đâu ra vậy?
    Hay tự ý vẻ ra?
     
  4. keite

    Tham gia:
    8/10/08
    Được thích:
    182
    Best Answers:
    0
    keite
    ĐẠI BÀNG
    Thuật toán mã hoá mỗi web 1 khác nhau. Nên có lộ cũng ko sợ :v vì chuối salt sinh ra mỗi lần 1 khác. những trang ko tin tưởng thì đặt pass chung cho tk rác. Còn cái quan trọng thì để 1 pass riêng.
     
  5. fanclubcongnghe

    fanclubcongnghe Thành viên

    Tham gia:
    18/4/16
    Được thích:
    1,583
    Best Answers:
    0
    fanclubcongnghe
    Đã bị hack còn xoá đc thù xoá ko thì pó tay
    Mặc cho con tạo nó mần ji thì mần
     
  6. writedung

    Tham gia:
    25/12/10
    Được thích:
    3,255
    Best Answers:
    0
    writedung
    CAO CẤP
    :D:D:D đã biết pass của Mod Duy Luân qua bài này
     
    Đu Máy Bay chấm comsecretlonely thích nội dung này.
    1. secretlonely

      Tham gia:
      10/11/08
      Được thích:
      78
      Best Answers:
      0
      secretlonely
      ĐẠI BÀNG
      secretlonely @writedung hacking Duy Luân account :v
       
  7. kungfu9999

    Tham gia:
    3/5/12
    Được thích:
    1,698
    Best Answers:
    0
    kungfu9999
    CAO CẤP
    có ai quên cả tài khoản là gì luôn không???
     
  8. colenao00

    Tham gia:
    8/1/09
    Được thích:
    699
    Best Answers:
    1
    colenao00
    TÍCH CỰC
    Cái Hash này chả mấy khi giống nhau nhưng k decode lại đc thật k vậy? Nếu nó hack luôn đc cái thuật toán Hash của web thì là vẫn decode đc mà nhỉ ?
     
    1. colenao00

      Tham gia:
      8/1/09
      Được thích:
      699
      Best Answers:
      1
      colenao00
      TÍCH CỰC
      colenao00 @blackberry4311 Cái này chính là cái em đang nghĩ là có thể? :D Biết là khó lộ cơ mà cứ táng bảo mật 2 lớp cho chắc :D
       
      blackberry4311 thích nội dung này.
    2. blackberry4311

      Tham gia:
      11/6/13
      Được thích:
      33
      Best Answers:
      0
      blackberry4311
      ĐẠI BÀNG
      blackberry4311 @colenao00 thực tế thì ở việt nam mình(trên thế giới nhiều quá thôi không nói đến) cũng có vài phốt lộ data và lộ luôn cả source ra như này rồi :D
       
      colenao00 thích nội dung này.
    3. Eldimio

      Tham gia:
      12/9/14
      Được thích:
      1,077
      Best Answers:
      0
      Eldimio
      TÍCH CỰC
      Eldimio @blackberry4311 Nếu dịch ngược lại được khi biết thuật toán thì nó gọi là encrypt (mã hoá), còn hash thì không thể.
       
    4. Eldimio

      Tham gia:
      12/9/14
      Được thích:
      1,077
      Best Answers:
      0
      Eldimio
      TÍCH CỰC
      Eldimio @colenao00 Thuật toán hash là bất định, nó biến đổi theo chính dữ liệu đầu vào, nên không thể nắm được thuật toán hash nếu không biết dữ liệu đầu vào :D
      Trái với hash là encrypt, nó có thuật toán độc lập với dữ liệu đầu vào và có thể giải ngược.
      Với hash, bạn cung cấp dữ liệu 1 lần và nó ra luôn chuỗi hash. Còn với encrypt bạn phải cung cấp 2 lần, dữ liệu và khoá dùng để mã và giải mã.
       
      colenao00Black Mamba thích nội dung này.
  9. ironic_haha

    Tham gia:
    15/11/09
    Được thích:
    1,436
    Best Answers:
    0
    ironic_haha
    TÍCH CỰC
    Amazon Prime video đã có mặt toàn cầu, bao gồm cả VN, chắc 1 tháng sau Tinhte mới có bài =DDD
     
    hungbya thích nội dung này.
    1. tdcn

      Tham gia:
      25/6/11
      Được thích:
      366
      Best Answers:
      0
      tdcn
      ĐẠI BÀNG
      tdcn @leogolasz A thấy rồi, nhưng mà phải xem nó có đầy đủ phim như ở Mĩ với Canada ko đã, chứ có vài phim cũng như ko:confused:
       
    2. Cafethangbay

      Tham gia:
      20/12/15
      Được thích:
      570
      Best Answers:
      0
      Cafethangbay
      ĐẠI BÀNG
      Cafethangbay @ironic_haha Ngơ ngơ ngẩn ngẩn.
      Chắc đợi dịp để post bài này, khổ nỗi không tìm hiểu kĩ trên tinhte.
       
    3. bibinguyen

      Tham gia:
      21/2/08
      Được thích:
      10,196
      Best Answers:
      2
      bibinguyen
      VIP
      bibinguyen @ironic_haha Bài nó nhảy sang tận trang 2 ngoài trang chủ rồi, lần sau cmt thì chịu khó search rồi cm nhé.
      À mà xài font bình thường được rồi, cần chi mà in đậm để nhấn mạnh là bác chưa đọc bài đâu, vào kiếm lại nhanh nhanh chứ không nó sang trang 3, 4 khó kiếm lắm.
      Cái cm kiểu này bác đã cm cách đây 2 hôm rồi, tuy nhiên hôm đó cũng có tin đó mà không biết sao lại không đọc nhỉ, fan apple hay sao mà toàn thấy tin apple rồi đi chém gió các kiểu ta.
      Kiếm tin khác đi hen.
       
    4. Black Mamba

      Tham gia:
      30/11/11
      Được thích:
      10,093
      Best Answers:
      0
      Black Mamba
      VIP
      Black Mamba @ironic_haha Tinhte đăng bài đó từ hôm kia hôm kìa rồi, giờ bạn mới đọc được mà cứ tưởng mình là cái rốn của vũ trụ đang đi phổ biến trí thông minh cho toàn dải Ngân Hà chắc. :D
       
      tranngocminh1990 thích nội dung này.
  10. boyster

    Tham gia:
    28/12/14
    Được thích:
    118
    Best Answers:
    0
    boyster
    ĐẠI BÀNG
    Video làm ntn thế mod ơi. em tham khảo với ạ
     
    1. mimosa1805

      Tham gia:
      29/3/09
      Được thích:
      785
      Best Answers:
      0
      mimosa1805
      TÍCH CỰC
      mimosa1805 @boyster Theo mình nghĩ là bạn ấy dùng bảng vẽ hoặc một máy gì đó có màn cảm ứng với một phần mềm vẻ vời như paint chẳng hạn rồi dùng phần mềm ghi lại màn hình lồng âm thanh vào
       
      boyster thích nội dung này.
    2. Duy Luân

      Duy Luân Không có gì!

      Tham gia:
      16/2/08
      Được thích:
      264,405
      Best Answers:
      10
      Duy Luân
      VIP
      Duy Luân @mimosa1805 Tuyệt vời và chính xác.

      Dùng Penultimate + iPad Pro + Pencil + Quick Time (trên máy tính, để quay màn hình ipad)
       
      mimosa1805 thích nội dung này.
  11. Đu Máy Bay chấm com

    Tham gia:
    11/10/16
    Được thích:
    293
    Best Answers:
    0
    Đu Máy Bay chấm com
    ĐẠI BÀNG
    Hash code có nơi còn public luôn nhưng chưa đủ trình để hack.
     
    colenao00 thích nội dung này.
  12. /v\ I ]\[ |-|

    Tham gia:
    19/10/09
    Được thích:
    198
    Best Answers:
    0
    /v\ I ]\[ |-|
    ĐẠI BÀNG
    Kích hoạt bảo mật 2 lớp email, iphone, facebook... của vợ thế mà nó cằn nhằn là loằng ngoằng, rách việc rồi còn "bạn bè em chả cần bảo mật mà có ai bị sao đâu". Cú vãi, lại đưa về nguyên bản cho nó, sau này mất cho chết cmnl. Đúng là đàn bà.
     
    SpiritOfLife thích nội dung này.
  13. leogolasz

    Tham gia:
    7/2/09
    Được thích:
    39
    Best Answers:
    0
    leogolasz
    ĐẠI BÀNG
    bị 1 lần, mở code 3 cái ios mất hơn 5 tr hồi 2013, tởn bật bảo mật 2 lớp hết luôn
     
  14. hieupy89

    Tham gia:
    25/10/08
    Được thích:
    2,811
    Best Answers:
    0
    hieupy89
    VIP
    mấy năm trước sony bị hack kêu TK ko được mã hoá luôn mới sợ
     
  15. qtgalaxy

    Tham gia:
    7/8/13
    Được thích:
    677
    Best Answers:
    0
    qtgalaxy
    TÍCH CỰC
    có nên giao pass cho mấy ông 1Password ko ta?
    em ứ yên tâm khi giao pass cho bất cứ app nào đâu, tự nhớ vậy :(
     
  16. Galaxy Lover

    Galaxy Lover Thành viên

    Tham gia:
    17/10/16
    Được thích:
    153
    Best Answers:
    0
    Galaxy Lover
    Nhờ anh @Duy Luân ,
    Em đã đã đăng nhập thành công account của @cuhiep trên tinh tế =))
     
    blackberry4311 thích nội dung này.
  17. ruakonzuize1211

    Tham gia:
    13/2/14
    Được thích:
    71
    Best Answers:
    0
    ruakonzuize1211
    ĐẠI BÀNG
    Có ai cho em biết bác Duy Luân dùng phần mềm gì để làm video này không, xin cảm ơn trước!
     
  18. Chuối tiêu minion

    Chuối tiêu minion Thành viên

    Tham gia:
    12/11/16
    Được thích:
    4
    Best Answers:
    0
    Chuối tiêu minion
    1. Pass => hash code
    2. Hash code #> pass
    3. Vậy cho dù hacker có biết được hash code của mình, cũng làm sao "đoán" được pass ở các trang web khác như mod nói
    Kể cả ko dùng salt.
     
    1. bibinguyen

      Tham gia:
      21/2/08
      Được thích:
      10,196
      Best Answers:
      2
      bibinguyen
      VIP
      bibinguyen @Chuối tiêu minion Em thấy có giải thích mà, vì cùng 1 pass cùng 1 cách hash thì sẽ ra chuỗi giống nhau.
      Ví dụ 123 hash abc, khi bác nhìn vào thấy abc là bác biết pass là 123 ngay (tất nhiên thực tế cũng không phải dễ ăn kiểu này), và xu hướng thì đặt pass giống nhau trên nhiều trang web nên vậy.
       
    2. Duy Luân

      Duy Luân Không có gì!

      Tham gia:
      16/2/08
      Được thích:
      264,405
      Best Answers:
      10
      Duy Luân
      VIP
      Duy Luân @Chuối tiêu minion hai pass ở 2 website bạn xài giống nhau, hai trang đó dùng cùng thuật toán hash => hash giống nhau
       
    3. Chuối tiêu minion

      Chuối tiêu minion Thành viên

      Tham gia:
      12/11/16
      Được thích:
      4
      Best Answers:
      0
      Chuối tiêu minion
      Chuối tiêu minion @Duy Luân Hash giống thì cũng ko thể suy ra password để đăng nhập được mà mod?

      123 hash ra abc nhưng từ abc ko thể suy ngược lại 123 được
      Ví dụ
      Trên web A bạn đã hack đc ID của mình là "emtraicuhiep" và pass đã hash là tg34Fvj.
      Trên web B bạn cũng hack được tương tự như vậy.
      Vậy với cái pass đã bị băm kia làm sao bạn đăng nhập?
       
    4. Chuối tiêu minion

      Chuối tiêu minion Thành viên

      Tham gia:
      12/11/16
      Được thích:
      4
      Best Answers:
      0
      Chuối tiêu minion
      Chuối tiêu minion @bibinguyen 123 hash ra abc nhưng từ abc ko thể suy ngược lại 123 được
      Ví dụ cho bạn dễ hiểu
      Trên web A bạn đã hack đc ID của mình là "emtraicuhiep" và pass đã hash là tg34Fvj.
      Trên web B bạn cũng hack được tương tự như vậy.
      Vậy với cái pass đã bị băm kia làm sao bạn đăng nhập?
       
    5. bibinguyen

      Tham gia:
      21/2/08
      Được thích:
      10,196
      Best Answers:
      2
      bibinguyen
      VIP
      bibinguyen @Chuối tiêu minion Nhưng mà vì đó luôn là abc nên nếu những pass đơn giản nó sẽ biết. Nên dù hash không truy ngược nhưng lại có table để search giống tra từ điển ấy, không tin cứ thử pass kiểu qwerty abc 1234567890.
      Ngoài ra trong bài viết cũng nói, nếu pass của em cũng là emtraicuhiep, thì em cũng thấy chính đoạn hash của em, và em sẽ rõ pass của bác cũng giống em.
       
  19. Eldimio

    Tham gia:
    12/9/14
    Được thích:
    1,077
    Best Answers:
    0
    Eldimio
    TÍCH CỰC
    Làm như mình thế này không lo bị lộ này:
    - Pass: được tính hash theo công thức phức tạp mà chính pass là một phần trong đó (lấy hash pass, lại dùng pass để encrypt đoạn hash, lại hash...) cuối cùng ra được cái hash pass KHÔNG THỂ DỊCH NGƯỢC lưu vào DB. Đăng nhập thì ốp nguyên công thức trên vào pass người dùng gõ rồi so sánh trùng với hash pass trong DB hay không.
    - Thông tin nhạy cảm (số đt, email, địa chỉ, số thẻ credit...): Được encrypt bằng công thức loằng ngoằng mà chính pass của người dùng là một phần của công thức. Những dữ liệu này chỉ giải mã được khi biết pass và công thức là duy nhất cho 1 user (trừ khi họ dùng pass giống nhau).
    Cách đưa password người dùng vào công thức mã hoá khiến cho ngay cả DB admin hoặc kể cả có đọc source code phần mềm cũng không thể giải được thông tin trên DB.
     
Đang tải...