20Aug
Hvis et af dine adgangskoder er kompromitteret, betyder det automatisk, at dine andre adgangskoder også bliver kompromitteret? Selv om der er mange variabler på spil, er spørgsmålet et interessant kig på, hvad der gør et kodeord sårbart, og hvad du kan gøre for at beskytte dig selv.
Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drive gruppering af Q & A websteder.
Spørgsmål
SuperUser læser Michael McGowan er nysgerrig, hvor langt det er at nå effekten af en enkelt adgangskode brud er;han skriver:
Antag, at en bruger bruger en sikker adgangskode på webstedet A og et andet men lignende sikkert kodeord på webstedet B. Måske noget som mySecure12 # PasswordA på webstedet A og mySecure12 # PasswordB på websted B( kan du frit bruge en anden definition af"Lighed", hvis det giver mening).
Antag så, at adgangskoden til websted A på en eller anden måde er kompromitteret. .. måske en ondsindet medarbejder på webstedet A eller en sikkerhedslækage. Betyder dette, at webstedets B-kodeord faktisk også er blevet kompromitteret, eller er der ikke noget som "adgangskode lighed" i denne sammenhæng? Gør det nogen forskel om kompromiset på websted A var en plain-text lækage eller en hashed version?
Skal Michael bekymre sig om hans hypotetiske situation kommer til at ske?
Svaret
SuperUser-bidragsydere hjalp med at løse problemet for Michael. Superbruger bidragyder Queso skriver:
For at besvare den sidste del først: Ja, det ville gøre en forskel, hvis de viste data var cleartext vs hashed. I en hash, hvis du ændrer en enkelt karakter, er hele hash helt anderledes. Den eneste måde, en angriber ville kende adgangskoden på, er at brute force the hash( ikke umuligt, især hvis hash er usaltet. Se regnbueborde).
Hvad angår lighedsproblemet, vil det afhænge af, hvad angriberen ved om dig. Hvis jeg får dit kodeord på webstedet A, og hvis jeg ved, at du bruger bestemte mønstre til oprettelse af brugernavne eller lignende, kan jeg prøve de samme konventioner på adgangskoder på websteder, du bruger.
Alternativt kan jeg i de adgangskoder, du angiver ovenfor, hvis jeg som angriber ser et indlysende mønster, som jeg kan bruge til at adskille en site-specifik del af adgangskoden fra den generiske adgangskode, jeg vil helt sikkert gøre den del af et brugerdefineret adgangskode angrebskræddersyet til dig.
Som et eksempel, siger du har en super sikker adgangskode som 58htg% HF! C.For at bruge denne adgangskode på forskellige websteder, tilføjer du et webstedsspecifikt element i begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satse om jeghack din facebook og få facebook58htg% HF! c Jeg kommer til at se det mønster og bruge det på andre websteder, jeg finder ud af at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den webstedsspecifikke del og generiske del af dit kodeord?
En anden superbruger bidragyder, Michael Trausch, forklarer, hvordan den hypotetiske situation i de fleste tilfælde ikke giver anledning til bekymring:
For at besvare sidste del først: Ja, det ville gøre en forskel, hvis de viste data var klartext versus hashed. I en hash, hvis du ændrer en enkelt karakter, er hele hash helt anderledes. Den eneste måde, en angriber ville kende adgangskoden på, er at brute force the hash( ikke umuligt, især hvis hash er usaltet. Se regnbueborde).
Hvad angår lighedsproblemet, vil det afhænge af, hvad angriberen ved om dig. Hvis jeg får dit kodeord på webstedet A, og hvis jeg ved, at du bruger bestemte mønstre til oprettelse af brugernavne eller lignende, kan jeg prøve de samme konventioner på adgangskoder på websteder, du bruger.
Alternativt kan jeg i de adgangskoder, du angiver ovenfor, hvis jeg som angriber ser et indlysende mønster, som jeg kan bruge til at adskille en site-specifik del af adgangskoden fra den generiske adgangskodedel, helt sikkert gøre den del af et brugerdefineret adgangskode angrebskræddersyet til dig.
Som et eksempel, siger du har en super sikker adgangskode som 58htg% HF! C.For at bruge denne adgangskode på forskellige websteder, tilføjer du et webstedsspecifikt element i begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satse om jeghack din facebook og få facebook58htg% HF! c Jeg kommer til at se det mønster og bruge det på andre websteder, jeg finder ud af at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den webstedsspecifikke del og generiske del af dit kodeord?
Hvis du er bekymret for, at din nuværende adgangskode liste ikke er forskelligartet og tilfældigt nok, anbefaler vi stærkt at tjekke vores omfattende adgangskode sikkerhedsguide: Sådan genopretter du efter din e-mail-adgangskode er kompromitteret. Ved at omarbejde din adgangskode lister som om moderen til alle adgangskoder, din e-mail-adgangskode, er blevet kompromitteret, er det nemt at hurtigt medbringe din adgangskodeportefølje.
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.