20Aug
Εάν ένας από τους κωδικούς πρόσβασής σας διακυβεύεται, αυτό σημαίνει αυτόματα ότι οι άλλοι κωδικοί πρόσβασης διακυβεύονται επίσης;Παρόλο που υπάρχουν αρκετές μεταβλητές στο παιχνίδι, το ερώτημα είναι μια ενδιαφέρουσα ματιά στο τι κάνει τον κωδικό ευάλωτο και τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας.
Η σημερινή ερώτηση &Η συνάντηση απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινοτική μονάδα δίσκου Q & A web sites.
Η ερώτηση
SuperUser αναγνώστης Michael McGowan είναι περίεργος πόσο μακριά φτάνει η επίδραση μιας ενιαίας παραβίασης του κωδικού πρόσβασης?γράφει:
Ας υποθέσουμε ότι ένας χρήστης χρησιμοποιεί έναν ασφαλή κωδικό πρόσβασης στην τοποθεσία Α και έναν διαφορετικό αλλά παρόμοιο ασφαλή κωδικό πρόσβασης στον ιστότοπο Β. Ίσως κάτι σαν mySecure12 # PasswordA στην τοποθεσία A και mySecure12 # PasswordB στην τοποθεσία Β( διστάσετε να χρησιμοποιήσετε διαφορετικό ορισμό"Ομοιότητα" αν έχει νόημα).
Ας υποθέσουμε λοιπόν ότι ο κωδικός πρόσβασης για τον ιστότοπο Α είναι κάπως διακυβευμένος. .. ίσως ένας κακόβουλος υπάλληλος του ιστότοπου Α ή μια διαρροή ασφαλείας.Μήπως αυτό σημαίνει ότι ο κωδικός πρόσβασης του ιστοτόπου Β έχει επίσης συμβιβαστεί, ή δεν υπάρχει κάτι τέτοιο όπως "ομοιότητα κωδικού πρόσβασης" σε αυτό το πλαίσιο;Μήπως έχει σημασία αν ο συμβιβασμός στον ιστότοπο Α ήταν διαρροή απλού κειμένου ή εκδοχή με χαστούκια;
Πρέπει ο Michael να ανησυχεί εάν η υποθετική του κατάσταση έρθει να περάσει;
Οι συνεργάτες της απάντησης
SuperUser βοήθησαν να εκκαθαριστεί το ζήτημα για τον Michael.Συντάκτης Superuser Ο Queso γράφει:
Για να απαντήσουμε στο τελευταίο μέρος πρώτα: Ναι, θα είχε σημασία αν τα στοιχεία που αποκαλύφθηκαν ήταν σαφές κείμενο σε σχέση με το hashed.Σε ένα hash, αν αλλάξετε ένα μόνο χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό.Ο μόνος τρόπος με τον οποίο ένας εισβολέας θα ήξερε τον κωδικό πρόσβασης είναι να χτυπήσει βίαια το hash( δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος.
Όσον αφορά την ερώτηση ομοιότητας, θα εξαρτηθεί από το τι γνωρίζει ο εισβολέας για εσάς.Εάν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα μοτίβα για τη δημιουργία ονομάτων χρηστών ή παρόμοιων, ενδέχεται να δοκιμάσω τις ίδιες συμβάσεις σε κωδικούς πρόσβασης σε ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στους κωδικούς πρόσβασης που δίνετε παραπάνω, αν εγώ ως εισβολέας βλέπω ένα προφανές μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσω ένα συγκεκριμένο τμήμα του κωδικού πρόσβασης από το τμήμα γενικού κωδικού πρόσβασης, σίγουρα θα κάνω αυτό το μέρος μιας επίθεσης προσαρμοσμένου κωδικού πρόσβασηςπροσαρμοσμένο σε εσάς.
Για παράδειγμα, λέτε ότι έχετε έναν σούπερ ασφαλή κωδικό πρόσβασης όπως 58htg% HF! C.Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς ιστότοπους, προσθέτετε στην αρχή ένα συγκεκριμένο στοιχείο ιστότοπου, έτσι ώστε να έχετε κωδικούς πρόσβασης όπως: facebook58htg% HF! C, wellsfargo58htg% HF! C ή gmail58htg% HF! C, μπορείτε να στοιχηματίσετε ανhack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα.Θα επισημάνει ο εισβολέας ένα μοτίβο στο συγκεκριμένο τμήμα και στο γενικό τμήμα του κωδικού πρόσβασής σας;
Ένας άλλος συνεισφέρων του Superuser, Michael Trausch, εξηγεί πως στις περισσότερες περιπτώσεις η υποθετική κατάσταση δεν προκαλεί ανησυχίες:
Για να απαντήσουμε πρώτα στο τελευταίο μέρος: Ναι, θα ήταν διαφορετικό εάν τα αποκαλυπτόμενα στοιχεία ήταν σαφές κείμενο σε σχέση με το hashed.Σε ένα hash, αν αλλάξετε ένα μόνο χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό.Ο μόνος τρόπος με τον οποίο ένας εισβολέας θα ήξερε τον κωδικό πρόσβασης είναι να χτυπήσει βίαια το hash( δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος.
Όσον αφορά την ερώτηση ομοιότητας, θα εξαρτηθεί από το τι γνωρίζει ο εισβολέας για εσάς.Εάν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα πρότυπα για τη δημιουργία ονομάτων χρηστών ή παρόμοιων, ενδέχεται να δοκιμάσω τις ίδιες συμβάσεις σχετικά με τους κωδικούς πρόσβασης σε ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στους κωδικούς πρόσβασης που δίνετε παραπάνω, αν εγώ ως εισβολέας βλέπω ένα προφανές μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσω ένα συγκεκριμένο τμήμα του κωδικού πρόσβασης από το τμήμα γενικού κωδικού πρόσβασης, σίγουρα θα κάνω αυτό το μέρος μιας επίθεσης προσαρμοσμένου κωδικού πρόσβασηςπροσαρμοσμένο σε εσάς.
Για παράδειγμα, λέτε ότι έχετε έναν σούπερ ασφαλή κωδικό πρόσβασης όπως 58htg% HF! C.Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς ιστότοπους, προσθέτετε στην αρχή ένα συγκεκριμένο στοιχείο ιστότοπου, έτσι ώστε να έχετε κωδικούς πρόσβασης όπως: facebook58htg% HF! C, wellsfargo58htg% HF! C ή gmail58htg% HF! C, μπορείτε να στοιχηματίσετε ανhack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα.Θα επισημάνει ο εισβολέας ένα μοτίβο στο συγκεκριμένο τμήμα και στο γενικό τμήμα του κωδικού πρόσβασής σας;
Εάν ανησυχείτε ότι η τρέχουσα λίστα κωδικών πρόσβασης δεν είναι διαφορετική και αρκετά τυχαία, συνιστούμε να ελέγξετε τον πλήρη οδηγό μας για την ασφάλεια των κωδικών πρόσβασης: Πώς να ανακτήσετε τον κωδικό σας ηλεκτρονικού ταχυδρομείου.Με την ανανέωση των λιστών κωδικών πρόσβασης, όπως και αν η μητέρα όλων των κωδικών πρόσβασης, ο κωδικός ηλεκτρονικού ταχυδρομείου σας, έχει συμβιβαστεί, είναι εύκολο να μεταφέρετε γρήγορα το χαρτοφυλάκιο κωδικών πρόσβασης.
Έχετε κάτι να προσθέσετε στην εξήγηση;Απενεργοποιήστε τα σχόλια.Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange;Δείτε το πλήρες νήμα συζήτησης εδώ.