答案1
安全就是要将风险降到最低。通过告诉你在攻击后更改密码,银行确保他们已尽职尽责地重新保护系统。这样,你就不能在攻击后回来起诉他们数据丢失,因为他们告诉你要更改密码。例如,在最近的 Target 数据泄露事件中,有几家银行起诉 Target 未尽职尽责,未妥善保护系统,导致在遭到黑客攻击后产生欺诈性收费。(1)
最小化风险的其中一项措施是意识到总有新的方法来获取数据,比如使用亚马逊等云基础设施进行暴力攻击(2)。如果有人拥有数据,他们最终会发现,而好的做法是假设数据已被泄露。
打个比方,假设一栋多单元建筑的业主的钥匙箱被盗,但所有钥匙都没有贴上标签。即使有人要花很长时间才能尝试所有钥匙才能闯入一个单元,也没有租户会质疑单元锁被更换了。如果公寓里有东西被盗,在更换锁之前,建筑业主将承担责任。
资料来源:
(1)http://www.reuters.com/article/2014/03/26/us-target-trustwave-lawsuit-idUSBREA2P0B020140326
(2)http://www.infoworld.com/t/data-security/amazon-ec2-enables-brute-force-attacks-the-cheap-148447
答案2
因为存在不同类型的漏洞。有些漏洞允许窃取密码哈希值的攻击者通过提供哈希值(而不是实际密码)来访问受保护用户的数据/服务/...。
这意味着即使没有花费数天、数周和数月的时间对哈希进行暴力破解,攻击者也可以找到一种方法将哈希直接输入系统并让自己进入。如果发现可能允许这种情况发生的漏洞,那么建议用户更改密码是必不可少的一步。更改密码将使所有被盗哈希无效。
不过这种情况并不常见。我会争论一下这个词总是在你的问题中。我经常看到公司发来消息说漏洞已被消除,不需要更改密码。