20Aug

Jos yksi salasanoitustani on kompromissi, ovatko muut salasanani kompromisseja liian?

Jos jokin salasanasi vaarantuu, tämä merkitsee automaattisesti sitä, että myös muut salasanasi ovat vaarassa? Vaikka pelissä on melko vähän muuttujaa, kysymys on mielenkiintoinen kuvaus siitä, mikä tekee salasanasta haavoittuvan ja mitä voit tehdä suojellaksesi itseäsi.

Päivän kysymys &Vastausistunto tulee meille SuperUser-palvelun kautta, joka on Stack Exchange -jakauma, Q & A-sivustojen yhteisöjoukkoyhdistelmä.

Kysymys

SuperUser-lukija Michael McGowan on utelias, kuinka pitkälle yhden salasanan rikkomisen vaikutusta on;hän kirjoittaa:

Oletetaan, että käyttäjä käyttää suojattua salasanaa sivustossa A ja eri mutta samanlaista suojattua salasanaa sivustolla B. Ehkä jotain mySecure12 # PasswordA sivustolla A ja mySecure12 # PasswordB sivustolla B( voit vapaasti käyttää eri määritelmää"Samankaltaisuus", jos se on järkevää).

Oletetaan, että sivuston A salasana on jotenkin vaarantunut. .. ehkä sivuston A haavoittuva työntekijä tai tietoturva vuotaa. Tarkoittaako tämä sitä, että sivuston B salasana on tosiasiallisesti vaarantunut vai onko salasanan samankaltaisuus tällainen? Onko mitään merkitystä, onko sivuston A kompromissi tavallinen tekstivuoto vai hajotettu versio?

Onko Michael huolissasi, jos hänen hypoteettinen tilanne muuttuu?

Vastaus

SuperUser-avustajat auttoivat selvittämään Michaelin ongelman. Superuser avustaja Queso kirjoittaa:

Vastaus viimeiseen osaan ensin: Kyllä, se olisi erilainen, jos luovutetut tiedot olivat selkeitä tekstiä vs. hashed. Hajautuksessa, jos muutat yksittäistä merkkiä, koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tuntee salasanan, on raa'an pakottaa hash( ei mahdotonta, varsinkin jos hash on salamatonta.

Samankaltaisuuden kysymys riippuu siitä, mitä hyökkääjä tietää sinulle. Jos saan salasanani sivustolla A ja jos tiedän, että käytät tiettyjä kuvioita käyttäjätunnusten luomiseen tai sellaisiin, voin kokeilla samoja salasanoja koskevia yleissopimuksia sivustoissa, joita käytät.

Vaihtoehtoisesti, kun annat yllä mainituissa salasanoissa, jos hyökkääjä näkee ilmeisen kuvion, jonka avulla voin erottaa sivustokohtaisen salasanan osan yleisestä salasana-osasta, määritän varmasti sen osan mukautetusta salasanan hyökkäyksestäräätälöity sinulle.

Esimerkiksi, sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C.Jos haluat käyttää salasanaa eri sivustoissa, lisäät sivustokohtaisen kohteen alkuun niin, että sinulla on salasanat, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, joshakata facebook ja saada facebook58htg% HF! c Näen tämän mallin ja käytän sitä muissa sivustoissa, jotka saan mielestäni käyttää.

Kaikki menee kuviin. Hyökkääjä näkee kuvion sivustokohtaisessa osassa ja salasanan yleisessä osassa?

Toinen Superuser-avustaja, Michael Trausch, kertoo, miten useimmissa tilanteissa hypoteettinen tilanne ei ole paljon huolenaihe:

Vastaus viimeiseen osaan ensin: Kyllä, se olisi erilainen, jos luovutetut tiedot olivat selkeitä tekstiä vs. hashed. Hajautuksessa, jos muutat yksittäistä merkkiä, koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tuntee salasanan, on raa'an pakottaa hash( ei mahdotonta, varsinkin jos hash on salamatonta.

Mitä samankaltaisuuden kysymykseen tulee, riippuu siitä, mitä hyökkääjä tietää teistä.Jos saan salasanani sivustolla A ja jos tiedän, että käytät tiettyjä kuvioita käyttäjätunnusten luomiseen tai sellaisiin, voin kokeilla samoja salasanoja koskevia yleissopimuksia sivustoissa, joita käytät.

Vaihtoehtoisesti, kun annat yllä mainituissa salasanoissa, jos hyökkääjä näkee selvän kuvion, jonka avulla voin erottaa sivustokohtaisen salasanan osan yleisestä salasanaosasta, määritän varmasti, että osa salasanan salasanastaräätälöity sinulle.

Esimerkiksi, sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C.Jos haluat käyttää salasanaa eri sivustoissa, lisäät sivustokohtaisen kohteen alkuun niin, että sinulla on salasanat, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, joshakata facebook ja saada facebook58htg% HF! c Näen tämän mallin ja käytän sitä muissa sivustoissa, jotka saan mielestäni käyttää.

Kaikki menee kuviin. Hyökkääjä näkee kuvion sivustokohtaisessa osassa ja salasanan yleisessä osassa?

Jos olet huolestunut siitä, että nykyinen salasanaluettelo ei ole monipuolinen ja tarpeeksi satunnainen, suosittelemme kattavan salasanasuojausopastuksen tarkistamista: Kuinka palauttaa sähköpostisi salasanan jälkeen. Uusimalla salasanalistojasi, jos kaikkien salasanojen äiti, sähköposti salasanasi, on vaarantunut, on helppo tuoda nopeasti salasanasi portfolio nopeasti.

Onko jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.