你的理解是错误的。如果密码存储为强加盐散列，则管理员无法找到好的用户密码，但可以通过将散列和加盐应用于列表中的每个密码并查找匹配项来找到常用密码列表中的密码。但是，如果存储的密码不加盐，会容易得多，因为在这种情况下，您只需运行一次而不是每个用户一次，因此这可能表明存储的密码没有加盐，这与最佳实践相反.

据我了解，除非我的密码以明文形式存储，否则他们不应该定期检查我的密码。

其实有：开裂。

已知的做法是系统管理员针对散列密码运行破解工具（John the Ripper、Hashcat 等）。密码简单的人可以在很短的时间内被破解；因此，正如他们所定义的那样，如果他们破解了您的密码，则很容易被发现并处于危险之中。

引用这篇关于开膛手约翰的文章：

您决定如何使用 John 取决于您。您可以选择定期在系统上的所有密码哈希上运行它，以了解您的用户密码中有多少是不安全的。然后，您可以考虑如何更改密码策略以减少该比例（可能通过增加最小长度。）您可能更愿意联系使用弱密码的用户并要求他们更改密码。或者您可能会认为该问题需要某种用户教育计划来帮助他们选择更安全的密码，这些密码他们可以记住而不必写下来。

您的大学可能没有以明文形式存储您的密码。他们有一种非常简单的方法来获取您的密码明文，我怀疑他们每天至少可以访问几次。

每次登录时，您都将密码以明文形式提供给他们。

如果您正在登录他们托管的应用程序，例如管理在线课程或检查您的成绩的网站，并且他们拥有该在线应用程序的源代码，那么他们可以轻松访问您的明文密码而无需存储它或将其传输到另一个系统，并且可以在那时检查您的密码的安全性。

如果他们使用单点登录服务，他们还可以在您登录时检查密码强度。

但是，它仍然非常可疑。联系您所在大学的 IT 部门并确认他们正在安全地存储您的密码。就他们如何检查您的密码提出尖锐的问题。

我的其余建议遵循标准的互联网身份验证建议：不要点击该电子邮件中的任何链接；如果您确实更改了密码，请通过正常方式进行更改，而不是通过电子邮件发送给您的链接。使用密码管理器存储和生成长随机密码。（理想情况下，您应该只知道 2 个密码：用于登录计算机的密码和用于登录密码管理器的密码。）切勿出于任何目的重复使用密码。

当您与大学的 IT 部门交谈时，向他们询问 2 因素身份验证。

这里需要做一些假设，但我认为您所指的大学密码是 Active Directory 帐户的密码。Active Directory 密码处理未加盐的 NTLM 散列格式的密码。考虑到这一点，不同环境中的相同密码将具有相同的哈希值。

Troy Hunt 提供了一项名为Pwned Passwords的服务，允许管理员下载 5.17 亿个密码哈希。您学校的 IT 部门可能会将其 Active Directory 中的密码哈希值与上述数据中多次出现的哈希值进行比较。

虽然以明文形式存储密码确实不时发生（主要是在专有 Web 应用程序中），但上述情况是我对他们如何确定您的密码弱的假设。