20Aug
Ako je jedna od vaših zaporki ugrožena, znači li to automatski znači da su i vaše druge lozinke ugrožene? Iako postoji dosta varijabli na igri, pitanje je zanimljiv pogled na ono što lozinku čini ranjivim i što možete učiniti kako biste zaštitili sebe.
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, zajedničkom pogonu grupiranja Q & A web stranica.
Pitanje
SuperUser čitač Michael McGowan je znatiželjan koliko dalekosežan utjecaj jednog lozinke povrede je;on piše:
Pretpostavimo da korisnik koristi sigurnu lozinku na mjestu A i drugu, ali sličnu sigurnu lozinku na web stranici B. Možda nešto poput mySecure12 # PasswordA na web stranici A i mySecure12 # PasswordB na web stranici B( slobodno upotrijebite drugu definiciju"Sličnost" ako ima smisla).
Pretpostavimo da je lozinka za web lokaciju A na neki način ugrožena. .. možda zlonamjerni zaposlenik stranice A ili sigurnosni propust. Znači li to da je lozinka stranice B učinkovito ugrožena, ili u takvom kontekstu nema takve "lozinke sličnosti"?Je li bilo kakvih razlika je li kompromis na web-lokaciji A bio isprekidani tekst ili iskrivljena verzija?
Trebao bi Michael brinuti hoće li njegova hipotetska situacija proći?
Odgovori
SuperUser pomoćnici pomogli su razjasniti pitanje Michaela. Dopisivač Superuser Queso piše:
Da biste odgovorili na zadnji dio: Da, bilo bi razlika ako su otkriveni podaci bili jasni tekstovi nasuprot raspršenom. U hash, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji napadač bi znao lozinku jest da siloviti silu( nije nemoguće, osobito ako je hash neslan, vidi tablice duga).
Što se tiče pitanja sličnosti, to bi ovisilo o onome što napadač zna o vama. Ako dobijem vašu zaporku na web-lokaciji A i ako znam da upotrebljavate određene obrasce za izradu korisničkog imena ili takvih, mogu pokušati ista konvencija o zaporkama na web-lokacijama koje upotrebljavate.
Alternativno, u gore navedenim zaporkama, ako ja kao napadač vidim očigledan uzorak koji mogu koristiti za odjeljivanje dijela lozinke za određenu web lokaciju iz dijela opće lozinke, svakako ću izvršiti taj dio prilagođene lozinkeprilagođen vama.
Kao primjer, recimo da imate super sigurnu lozinku poput 58htg% HF! C.Da biste upotrijebili ovu lozinku na različitim web-lokacijama, dodajte stavku specifičnu za web mjesto na početak, tako da imate zaporke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako jahack svoj facebook i dobiti facebook58htg% HF! c Ja ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.
Sve se svodi na obrasce. Hoće li napadač vidjeti obrazac u dijelu koji se odnosi na web lokaciju i generički dio vaše zaporke?
Drugi doprinos Superuser, Michael Trausch, objašnjava kako u većini situacija hipotetička situacija nije mnogo razloga za zabrinutost:
Da bi prvi odgovor na posljednji dio: Da, to bi značilo da su otkriveni podaci bili cleartext ili hashed. U hash, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji napadač bi znao lozinku jest da siloviti silu( nije nemoguće, osobito ako je hash neslan, vidi tablice duga).
Što se tiče pitanja sličnosti, to bi ovisilo o onome što napadač zna o vama. Ako dobijem vašu zaporku na web-lokaciji A i ako znam da upotrebljavate određene obrasce za izradu korisničkog imena ili takvih, mogu pokušati ista konvencija o zaporkama na web-lokacijama koje upotrebljavate.
Alternativno, u lozinke koje dajete gore, ako ja kao napadač vidim očigledan uzorak koji mogu koristiti za odjeljivanje dijela lozinke za određenu web lokaciju iz dijela opće lozinke, definitivno ću napraviti taj dio prilagođene lozinkeprilagođen vama.
Kao primjer, recimo da imate super sigurnu lozinku poput 58htg% HF! C.Da biste upotrijebili ovu lozinku na različitim web-lokacijama, dodajte stavku specifičnu za web mjesto na početak, tako da imate zaporke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako jahack svoj facebook i dobiti facebook58htg% HF! c Ja ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.
Sve se svodi na obrasce. Hoće li napadač vidjeti obrazac u dijelu koji se odnosi na web lokaciju i generički dio vaše zaporke?
Ako ste zabrinuti da trenutni popis lozinke nije raznolik i dovoljno velik, preporučujemo vam da pogledate naš opsežan sigurnosni vodič za lozinku: Kako se vratiti nakon što je zaporka vaše e-pošte kompromitirana. Obradom popisa lozinke kao da je majka svih lozinki, vaša e-mail lozinka, ugrožena, lako je brzo prenesiti portfelj lozinke do brzine.
Imate li nešto za objašnjenje? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.