Откуда Instagram узнал, что мой пароль был скомпрометирован на другом сайте?
Недавно мой почтовый аккаунт на хостинге злостно эксплуатировали для рассылки спама. Как выяснилось позже - злоумышленник где-то нашел мой пароль и напрямую подключался к SMTP. Смена пароля не помогала, потому что не работала. Все починили. Пароли сменил. Голову сломал - где я мог спалить свой пароль. Если только какой-то сайт взломали и все пароли утекли в сеть, включая мой.
А сегодня получил от своего Instagram уведомление, о том что мой пароль совпадает с тем, который недавно украли на другом сайте и что мол надо его сменить. Отсюда вопрос: откуда они об этом узнали?
Vladislav: Владислав, мы, кажется, не знакомы. Мой пароль должен быть такой же тайной для разработчиков ресурса (не знаю о каком Вы говорите, но в принципе - любого), как и для владельцев Instagram. Суть моего вопроса сводится к недоумению - каким образом Инстаграмм смог определить (или предположить), что именно мой пароль (который был установлен для моего аккаунта) оказался скомпрометирован, учитывая даже минимальные принятые на вооружение на любых сайтах методы хеширования паролей.
Никита Траторов: Лично встречал некоторые сайты, которые по запросу на восстановления пароля.. присылали мне старый пароль, что вызывает некоторые сомнения на счет хеширования.
Да лаадно.
1) Имем где-то базу паролей с мылами.
2) Знаем (мы же инстаграм!) алгоритм генерации хэша
3) Генерируем хэш из слитого пароля
4) Проверяем с хэшем в базе
5) Если совпало - бьём тревогу.
