20Aug
Pokud je některá z vašich hesel ohrožena, znamená to automaticky, že vaše ostatní hesla jsou také ohrožena? Přestože je na hraní poměrně málo proměnných, je otázkou zajímavý pohled na to, co dělá heslo zranitelným a co můžete udělat, abyste se chránili.
dnešní otázka &Odpověď na odpověď nám přichází s laskavým svolením SuperUser - rozdělení Stack Exchange, seskupení webových stránek Q & A na úrovni komunity.
Otázka
SuperUser čtenář Michael McGowan je zvědavý, jak daleký dosah na dopad jednoho narušení hesla je;píše:
Předpokládejme, že uživatel používá bezpečné heslo na webu A a jiné podobné bezpečnostní heslo na webu B. Možná něco jako mySecure12 # PasswordA na webu A a mySecure12 # PasswordB na webu B( neváhejte použít jinou definici"Podobnost", pokud má smysl).
Předpokládejme tedy, že heslo pro stránky A je nějakým způsobem ohroženo. .. možná zlomyslným zaměstnancem webu A nebo únikem zabezpečení.Znamená to, že heslo serveru B bylo také účinně ohroženo, nebo neexistuje v tomto kontextu žádná podobná věc jako "podobná hesla"?Má nějaký rozdíl, zda kompromis na webu A byl prostý text úniku nebo hash verze?
Měl by Michael dělat starosti, pokud se jeho hypotetická situace stane?
Odpovědi odpovědí
SuperUser pomohli odstranit problém pro Michaela. Superuserový přispěvovatel Queso píše:
Nejdříve odpovědět na poslední část: Ano, mělo by to rozdíly, kdyby byly zveřejněny údaje jako jasný text versus hash. V hash, pokud změníte jeden znak, celý hash je zcela jiný.Jediným způsobem, jak by útočník věděl, že je heslo, je to hrubá síla( není nemožné, zvláště pokud je hash nesolený).
Pokud jde o otázku podobnosti, závisí to na tom, co o vás útočník ví.Pokud dostanu své heslo na webu A a pokud vím, že používáte určité vzorce pro vytváření uživatelských jmen nebo podobných, mohu zkusit stejné konvence na heslech na stránkách, které používáte.
Případně v heslech uvedených výše, jestliže jako útočník vidím zřejmý vzor, který mohu použít k oddělení části specifické části hesla od části obecného hesla, určitě udělám tu část útoku vlastního heslapřizpůsobené vám.
Jako příklad říkáte, že máte velmi bezpečné heslo jako 58htg% HF! C.Chcete-li toto heslo použít na různých webech, přidáte na začátek konkrétní položku, takže máte hesla, jako například: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, můžete vsadit, pokudhack facebook a dostat facebook58htg% HF! C Uvidím, že vzorec a použít ji na jiných stránkách zjistím, že můžete použít.
Všechno se shoduje se vzory. Zobrazí útočník vzorek v části specifické pro danou stránku a obecnou část vašeho hesla?
Další přispěvatel Superuser Michael Trausch vysvětluje, že ve většině situací není hypotetická situace důvodem k obavám:
Nejdříve odpověděv na poslední část: Ano, bylo by důležité, kdyby byly zveřejněny jasné texty versus hash. V hash, pokud změníte jeden znak, celý hash je zcela jiný.Jediným způsobem, jak by útočník věděl, že je heslo, je to hrubá síla( není nemožné, zvláště pokud je hash nesolený).
Pokud jde o otázku podobnosti, závisí to na tom, co o vás útočník ví.Pokud dostanu své heslo na webu A a pokud vím, že používáte určité vzorce pro vytváření uživatelských jmen nebo podobných, mohu zkusit stejné konvence na heslech na stránkách, které používáte.
Případně ve výše uvedených heslech, pokud jako útočník vidím zřejmý vzorec, který mohu použít k oddělení části hesla specifické pro danou stránku z části obecného hesla, určitě udělám tu část útoku vlastního heslapřizpůsobené vám.
Jako příklad říkáte, že máte velmi bezpečné heslo jako 58htg% HF! C.Chcete-li toto heslo použít na různých webech, přidáte na začátek konkrétní položku, takže máte hesla, jako například: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, můžete vsadit, pokudhack facebook a dostat facebook58htg% HF! C Uvidím, že vzorec a použít ji na jiných stránkách zjistím, že můžete použít.
To všechno přichází ke vzorům. Zobrazí útočník vzorek v části specifické pro danou stránku a obecnou část vašeho hesla?
Pokud se obáváte, že aktuální seznam hesel není různorodý a dostatečně náhodný, důrazně doporučujeme zkontrolovat naši komplexní příručku pro zabezpečení hesla: Jak obnovit heslo po emailu je kompromisní.Tím, že přepracujete své seznamy hesel, jako by matka všech hesel, vaše heslo k e-mailu, bylo ohroženo, je snadné rychle přiblížit své portfolio.
Musíte něco přidat k vysvětlení?Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.
