20Aug
Si una de sus contraseñas se ve comprometida, ¿significa automáticamente que sus otras contraseñas también están en peligro? Si bien hay bastantes variables en juego, la pregunta es una mirada interesante sobre qué hace que una contraseña sea vulnerable y qué puedes hacer para protegerte.
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de comandos de comunidad de sitios web de Q & A.
El lector de SuperUser
de Question Michael McGowan es curioso sobre cuán lejos se alcanza el impacto de una única violación de contraseña;él escribe:
Supongamos que un usuario usa una contraseña segura en el sitio A y una contraseña segura diferente pero similar en el sitio B. Tal vez algo así como mySecure12 # PasswordA en el sitio A y mySecure12 # PasswordB en el sitio B( no dude en utilizar una definición diferente de"Similitud" si tiene sentido).
Supongamos entonces que la contraseña para el sitio A está de alguna manera comprometida. .. tal vez un empleado malicioso del sitio A o una fuga de seguridad.¿Esto significa que la contraseña del sitio B también ha sido efectivamente comprometida, o no existe tal cosa como "similitud de contraseña" en este contexto?¿Hay alguna diferencia si el compromiso en el sitio A fue una fuga de texto sin formato o una versión hash?
¿Debería Michael preocuparse si su situación hipotética llega a pasar?
Los colaboradores de Answer
SuperUser ayudaron a aclarar el problema para Michael. Contribuidor del superusuario Queso escribe:
Responder primero a la última parte: Sí, marcaría una diferencia si los datos revelados fueran texto simple vs. En un hash, si cambia un solo carácter, el hash completo es completamente diferente. La única forma en que un atacante sabría la contraseña es forzar la fuerza bruta del hash( no imposible, especialmente si el hash no tiene sal. Consulte las tablas del arco iris).
En cuanto a la pregunta de similitud, dependerá de lo que el atacante sepa de ti. Si obtengo su contraseña en el sitio A y si sé que utiliza ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre las contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que das arriba, si como atacante veo un patrón obvio que puedo usar para separar una parte específica del sitio de la contraseña de la parte de contraseña genérica, definitivamente voy a hacer esa parte de un ataque de contraseña personalizadoadaptado a ti.
Como ejemplo, digamos que tiene una contraseña super segura como 58htg% HF! C.Para usar esta contraseña en diferentes sitios, debe agregar un elemento específico del sitio al principio, para que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar sipiratea tu Facebook y obtén facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentro que puedes usar.
Todo se reduce a patrones.¿El atacante verá un patrón en la parte específica del sitio y en la porción genérica de su contraseña?
Otro colaborador del superusuario, Michael Trausch, explica cómo en la mayoría de las situaciones la situación hipotética no es motivo de gran preocupación:
Responder primero a la última parte: Sí, marcaría la diferencia si los datos revelados fueran claros vs. hash. En un hash, si cambia un solo carácter, el hash completo es completamente diferente. La única forma en que un atacante sabría la contraseña es forzar la fuerza bruta del hash( no imposible, especialmente si el hash no tiene sal. Consulte las tablas del arco iris).
En cuanto a la pregunta de similitud, dependerá de lo que el atacante sepa de ti. Si obtengo su contraseña en el sitio A y si sé que utiliza ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre las contraseñas en los sitios que usa.
Alternativamente, en las contraseñas dadas arriba, si como atacante veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de contraseña genérica, definitivamente voy a hacer esa parte de un ataque de contraseña personalizadoadaptado a ti.
Como ejemplo, supongamos que tiene una contraseña super segura como 58htg% HF! C.Para usar esta contraseña en diferentes sitios, debe agregar un elemento específico del sitio al principio, para que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar sipiratea tu Facebook y obtén facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentro que puedes usar.
Todo se reduce a patrones.¿El atacante verá un patrón en la parte específica del sitio y en la porción genérica de su contraseña?
Si le preocupa que su actual lista de contraseñas no sea lo suficientemente diversa y aleatoria, le recomendamos que consulte nuestra guía de seguridad completa de contraseñas: Cómo recuperarse después de que su contraseña de correo electrónico se vea comprometida. Al volver a trabajar sus listas de contraseñas como si la madre de todas las contraseñas, su contraseña de correo electrónico, se hubiera visto comprometida, es fácil actualizar rápidamente su cartera de contraseñas.
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.
