Dấu chấm phẩy cũng tương tự
>u/illpallozzo (2.7k points)
Tất cả mật khẩu của tui nhìn y như SQL injection (t/n: các dữ liệu muốn được lưu vào cơ sở dữ liệu phải được xử lý thông qua các câu lệnh SQL, các dữ liệu này sẽ được chèn vào các câu lệnh đó, hacker sẽ lợi dụng cú pháp của SQL gửi đi các dữ liệu có chứa các ký tự đặc biệt, để khi các dữ liệu này được chèn vào câu lệnh SQL, chúng sẽ khiến cho câu lệnh đó bị thay đổi nhằm phục vụ mục đích của hacker, đây gọi là kỹ thuật SQL injection).
>>u/joten70 (3.0k points – x1 gold – x1 helpful – x1 wholesome)
p@ssw0rd’); drop table passwords;–
t/n: để hiểu hơn về SQL injection, mình ví dụ có câu lệnh sau để thêm một tài khoản mới insert into passwords(name, password) values ($name, $password);, câu lệnh này đại loại là thêm một dữ liệu (dòng) mới vào bảng passwords có cột name và password với giá trị tương ứng lần lượt là $name và $password, dữ liệu được gửi từ người dùng sẽ được chèn vào chỗ $name và $password, chỗ dấu ; là nơi câu lệnh kết thúc.
Thử chèn cái mật khẩu trên vào câu lệnh này: insert into users(name, password) values (‘hacker’, ‘p@ssw0rd’); drop table passwords;–‘);. Có thể thấy câu lệnh thêm vào một dòng có name là hacker và password là p@assword, tuy nhiên sau dấu ; còn một câu lệnh nữa, câu lệnh này sẽ xoá luôn cái bảng passwords, còn sau cụm — là phần ghi chú, nó không có giá trị thực thi nên khi trình biên dịch chạy nó sẽ bỏ qua phần đó, không kiểm tra lỗi cú pháp.
>>u/Dustangelms (26 points)
Người chuyên nghiệp làm mật khẩu của họ khi bị băm nhìn giống sql injection
_____________________
u/lapislazli (2.8k points – x1 wholesome)
Tui biết một ông giám đốc dự án trong công ty, gọi ổng là Cain đi, đang lưu giữ các mật khẩu của một công cụ nội bộ dưới dạng văn bản thô nhưng miệng ổng vẫn bô bô rằng ổng đã băm chúng rồi (t/n: băm hay hashing là một kỹ thuật mã hoá dữ liệu gốc thành dữ liệu khác, dữ liệu đã được mã hoá này không có ý nghĩa và không thể giải mã ngược lại dữ liệu ban đầu được, kỹ thuật này thường được áp dụng cho mật khẩu trước khi chúng được lưu vào cơ sở dữ liệu), do đó tui đặt mật khẩu là DitMeCain666 vì tui biết chắc rằng ổng đọc được á nhưng mà ổng sẽ không dám nói một lời nào hoặc lời nói dối của ổng sẽ bị lộ tẩy.
>u/SureNiceNeat (598 points – x1 helpful – x1 starry)
TuiDungAnhFBCuaVoCainDeThuDam666
>>u/NoConfusion9490 (33 points)
Tui cho rằng ông đang khen vợ của Cain, nhưng mà sẽ không ai muốn nghe lời khen ngợi như vậy đâu
>u/mlk (191 points)
Lần tới dùng cái này nè: https://en.wikipedia.org/wiki/EICAR_test_file để trình diệt virus khoá luôn cái cơ sở dữ liệu. (t/n: EICAR là file dùng để kiểm tra phản hồi của một trình diệt virus thay vì phải sử dụng đến file virus thực, các trình diệt virus được lập trình để xác định chuỗi EICAR là một loại virus)
>>u/ilikeballoons (162 points)
Theo mô tả của EICAR, trình diệt virus chỉ phát hiện file kiểm tra khi nó bắt đầu bằng một chuỗi kiểm tra dài 68 byte và file đó dài không quá 128 byte. Do đó trên thực tế các trình diệt virus không nên báo cáo về các file văn bản có chứa chuỗi kiểm tra này.
>>>u/mlk (74 points)
_____________________
u/Charyou-Tree (719 points)
“Các ký tự đặc biệt CHỈ bao gồm ! * $ hoặc @”
Ghét mấy cái điều kiện ngu ngốc này vl.
>u/blehmann1 (414 points)
Ngân hàng của tui kiểm tra các điều kiện của mật khẩu khi người dùng đăng ký và cả khi đăng nhập. Vấn đề là tui có thể đặt mật khẩu không cần tuân theo các điều kiện do quá trình kiểm tra mật khẩu lúc đăng ký của họ có bug (tui thì không nhớ rõ bug đó là gì). Vì thế mà tui có thể đặt một cái mật khẩu mà tui không thể dùng để đăng nhập được. Khá là buồn cười và việc kiểm tra điều kiện của mật khẩu khi đăng nhập cũng không thực sự cần thiết nữa.
>>u/DeadM3me (224 points)
Có một lần tui đặt mật khẩu cho tài khoản Steam dài tầm 512 ký tự, điều này được chấp nhận nha, chỉ để phát hiện ra rằng cái ô nhập mật khẩu ở client của Steam có giới hạn ký tự ngắn hơn. Và tui cũng không thể đăng nhập được luôn lol.
>>u/MyNameZeke (11 points)
Bên CDG Commerce cũng có vấn đề tương tự. Dù tui đã đổi mật khẩu thành công nhưng vẫn không thể đăng nhập vào được. Thế là tui gọi cho bên bộ phận hỗ trợ và họ trả lời rằng “À, do mật khẩu của anh dài quá ạ.”
Thế thì tại sao hệ thống của mấy người lại cho phép tui đặt mật khẩu như thế?!?
_____________________
u/stackoverflow21 (1.7k points – x1 hehehehe)
Mật khẩu của tui chứa ký tự xuống dòng và ký tự eof (t/n: ký tự được chèn vào cuối mỗi file với mục đích đánh dấu hết file)
>u/Spekingur (655 points)
Của tui chứa hẳn kịch bản phim Titanic
_____________________
u/StochasticTinkr (452 points)
Nếu mà mật khẩu của ông nằm trong cái file nào đó dưới dạng thô, thì ai đó đã sai ngay từ đầu rồi.
>u/17000HerbsAndSpices (382 points)
Câu chuyện thực tế: khi đang là sinh viên năm cuối, tui cùng đứa bạn cùng phòng thuê một căn hộ bên ngoài khu đại học thông qua một công ty kinh doanh nhà ở cũng khá lớn.
Tụi tui được yêu cầu phải tạo tài khoản trên cái trang web được thiết kế ỉa chảy của họ để có thể gửi yêu cầu giải quyết công chuyện và những thứ tương tự. Thì tui quên bén mất cái mật khẩu của mình, và khi tui nhấp vào nút “quên mật khẩu” rồi điền emal của tui vào, mấy ông biết chuyện gì xảy ra không?
Họ đã gửi lại mật khẩu cho tui nhưng mà dm DƯỚI DẠNG VĂN BẢN THÔ LẠI CÒN ĐƯỢC IN ĐẬM LÈ NHƯ VẬY NÈ
>u/ferna182 (67 points)
Đúng rồi á, chính phủ nước tui vẫn không chịu tiếp thu mấy thứ này. Có nhiều dịch vụ công vẫn lưu mật khẩu dưới dạng văn bản thô. Chỗ “đổi mật khẩu” thực chất là hiển thị ra mật khẩu của mấy ông sau đó mấy ông thay đổi nó rồi lưu lại. Tụi tui vẫn có dịch vụ gửi lại mật khẩu qua email khi mấy ông nhấp vào “quên mật khẩu”. Vấn đề là mấy ông không thể phản ánh hay công khai mấy chuyện này vì chính phủ sẽ buộc tội mấy ông đang cố xâm nhập vào hệ thống quốc gia và thậm chí họ sẽ đến bắt bớ, khám xét nhà ông. Thực tế có vài người đã bị như vậy khi họ có cảnh báo mọi người về lỗ hổng bảo mật này.
>>u/Tomnnn (57 points)
Đọc bài báo này đa số mọi người sẽ nghĩ đến một quốc gia đang phát triển nào đó đang cố gắng hiện đại hoá đất nước, tuy nhiên đang hoàn toàn là về bang Missouri. (Link bài báo “Chính quyền bang Missouri doạ kiện phóng viên, người đã cảnh báo về một lỗ hổng bảo mật”: https://www.wired.com/…/missouri-threatens-sue…/)
Tóm tắt bài báo: khi mấy ông xem trang web có một menu xổ xuống hiển thị tên của các giáo viên, dữ liệu trong các thẻ html (t/n: html là ngôn ngữ dùng để xây dựng trang web) khi xem trong “trình xem mã nguồn trang web” (t/n: một tính năng có sẵn trong hầu hết các trình duyệt web hiện nay) có chứa các thông tin thêm khác, bao gồm cả số an sinh xã hội. Người phát hiện ra vấn đề này đã báo cáo cho bên có thẩm quyền một cách riêng tư và họ đã cáo buộc anh đã xâm nhập vào hệ thống và vẫn đang cố để kiện tụng anh.
Và bây giờ mọi người đều biết luôn rồi
>u/DiabetesAnonymous (15 points)
Vài năm trước thôi, tui có gọi cho bên ngân hàng TD vì tui quên mất mật khẩu của mình và tài khoản của tui bị khoá do nhập sai mật khẩu nhiều lần. Họ xác minh danh tính và cho phép tui đặt lại mật khẩu của mình luôn trong cuộc gọi, khá là hay và tiện.
Nhưng khi tui hỏi anh nhân viên hỗ trợ: “À thì tôi khá là tò mò muốn biết mật khẩu trước đó là gì?”, và ảnh đã cho tui biết luôn trong cuộc gọi đó, bằng mồm.
_____________________
u/golddragon88 (237 points)
Gượm đã, mấy người thực sự đã ngồi nghĩ ra mấy cái mật khẩu thay vì tạo nó một cách ngẫu nhiên hả?!
>u/ooglybooglies (376 points)
Thì não tui nó liên tục ngẫu nhiên nghĩ đến cùng một mật khẩu…
_____________________
u/daegon (212 points)
Mật khẩu nên được thêm salt và băm ra (t/n: salt là một chuỗi ngẫu nhiên được chèn vào trước hoặc sau mật khẩu trước khi mật khẩu được băm, vì với các dữ liệu giống nhau, khi được băm nó sẽ sinh ra giá trị băm cũng giống nhau, việc chèn thêm chuỗi ngẫu nhiên vào mật khẩu giúp các mất khẩu giống nhau sẽ có các giá trị băm khác nhau) trước khi lưu vào cơ sở dữ liệu, vì vậy cái tip trên chỉ để vui là chính, nó hoàn toàn không có tác dụng. Tui cũng hy vọng rằng các quản trị viên đã học được cách che giấu các cơ sở dữ liệu chứa mật khẩu người dùng.
