20Aug
Si l'un de vos mots de passe est compromis, cela signifie-t-il automatiquement que vos autres mots de passe sont également compromis? Bien qu'il y ait quelques variables en jeu, la question est un regard intéressant sur ce qui rend un mot de passe vulnérable et ce que vous pouvez faire pour vous protéger.
Question d'aujourd'hui &La session de réponse nous vient avec l'aimable autorisation de SuperUser, une subdivision de Stack Exchange, un groupement de lecteurs communautaires de sites Web Q & A.
Le lecteur de question
SuperUser Michael McGowan est curieux de savoir à quel point l'impact d'une seule violation de mot de passe est important;il écrit:
Supposons qu'un utilisateur utilise un mot de passe sécurisé sur le site A et un mot de passe sécurisé différent mais similaire sur le site B. Peut-être quelque chose comme mySecure12 # PasswordA sur site A et mySecure12 # PasswordB sur site B( n'hésitez pas à utiliser une définition différente"Similitude" si cela a du sens).
Supposons que le mot de passe du site A soit en quelque sorte compromis. .. peut-être un employé malveillant du site A ou une fuite de sécurité.Cela signifie-t-il que le mot de passe du site B a effectivement été compromis, ou est-ce qu'il n'y a pas de "similarité de mot de passe" dans ce contexte? Est-ce que cela fait une différence que le compromis sur le site A soit une fuite en texte brut ou une version hachée?
Michael devrait-il s'inquiéter si sa situation hypothétique se réalise?
La réponse
SuperUser contributeurs aidé à résoudre le problème pour Michael. Contributeur superutilisateur Queso écrit:
Pour répondre à la dernière partie en premier: Oui, cela ferait une différence si les données divulguées étaient en texte clair ou en hachage. Dans un hachage, si vous changez un seul caractère, le hachage entier est complètement différent. La seule façon pour un attaquant de connaître le mot de passe est de forcer le hachage( pas impossible, surtout si le hachage n'est pas salé, voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, cela dépend de ce que l'attaquant sait de vous. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur ou autres, je peux essayer ces mêmes conventions sur les mots de passe sur les sites que vous utilisez.
Alternativement, dans les mots de passe que vous avez donnés ci-dessus, si je vois en tant qu'attaquant un motif évident que je peux utiliser pour séparer une partie spécifique du site du mot de passe, je ferai certainement partie d'une attaque par mot de passe.adapté à vous.
A titre d'exemple, disons que vous avez un mot de passe super sécurisé comme 58htg% HF! C.Pour utiliser ce mot de passe sur différents sites, vous ajoutez un élément spécifique au site au début, de sorte que vous avez des mots de passe comme: facebook58htg% HF! C, wellsfargo58htg% HF! C, ou gmail58htg% HF! C, vous pouvez parier si jepirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif dans la partie spécifique au site et la partie générique de votre mot de passe?
Un autre contributeur de Superuser, Michael Trausch, explique comment dans la plupart des situations la situation hypothétique n'est pas très inquiétante:
Pour répondre à la dernière partie d'abord: Oui, cela ferait une différence si les données divulguées étaient en clair. Dans un hachage, si vous changez un seul caractère, le hachage entier est complètement différent. La seule façon pour un attaquant de connaître le mot de passe est de forcer le hachage( pas impossible, surtout si le hachage n'est pas salé, voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, cela dépend de ce que l'attaquant sait de vous. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur ou autres, je peux essayer ces mêmes conventions sur les mots de passe sur les sites que vous utilisez. Alternativement, dans les mots de passe que vous donnez ci-dessus, si moi comme un attaquant voir un modèle évident que je peux utiliser pour séparer une partie spécifique du site du mot de passe de la partie mot de passe générique, je ferai certainement cette partie d'un mot de passe personnaliséadapté à vous.
A titre d'exemple, disons que vous avez un mot de passe super sécurisé comme 58htg% HF! C.Pour utiliser ce mot de passe sur différents sites, vous ajoutez un élément spécifique au site au début, de sorte que vous avez des mots de passe comme: facebook58htg% HF! C, wellsfargo58htg% HF! C, ou gmail58htg% HF! C, vous pouvez parier si jepirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif dans la partie spécifique au site et la partie générique de votre mot de passe?
Si vous craignez que votre liste de mots de passe actuelle ne soit pas assez variée et aléatoire, nous vous recommandons fortement de consulter notre guide de sécurité complet de mot de passe: Comment récupérer après que votre mot de passe d'email est compromis. En retravaillant vos listes de mots de passe comme si la mère de tous les mots de passe, votre mot de passe d'email, a été compromise, il est facile de mettre rapidement à jour votre portefeuille de mots de passe.
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.