20Aug
Ha valamelyik jelszava veszélybe került, ez automatikusan azt jelenti, hogy más jelszavak is veszélybe kerülnek? Bár a játékban elég sok változó létezik, a kérdés érdekes pillantást vethet arra, hogy mi teszi a jelszót sebezhetővé, és mit tehet megvédeni magad.
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange, a Q & A weboldalak közösségmegosztási csoportjának - részlegének köszönhető.
A
SuperUser-olvasó kérdése Michael McGowan kíváncsi, hogy milyen messze jut el egyetlen jelszó-sértés hatása;ő írja:
Tegyük fel, hogy a felhasználó biztonságos jelszót használ az A webhelyen, és egy másik, de hasonló, biztonságos biztonsági jelszót a B helyszínen. Talán valami, mint a mySecure12 # A jelszó a webhelyen A és a mySecure12 # PasswordB a B webhelyen"Hasonlóság", ha van értelme).
Tegyük fel, hogy az A webhelyhez tartozó jelszó valahogy sérült. .. talán az A webhely rosszindulatú munkatársa vagy egy biztonsági szivárgás. Ez azt jelenti, hogy a webhely B jelszava ténylegesen veszélybe került, vagy nincs ilyen a "jelszó-hasonlóság" ebben az összefüggésben? Bármilyen különbség van-e, hogy a kompromisszum az A helyszínen egyszerű szöveges szivárgás vagy hased verzió volt?
Ha Michael aggódik, ha hipotetikus állapota megy végbe?
Az
válasz A SuperUser segítői segítettek tisztázni Michael problémáját. A Superuser közreműködője Queso írja:
Először válaszolni az utolsó részt: Igen, ez megváltoztatná, ha a nyilvánosságra hozható adatok szöveges szövegek vagy hasítékok lennének. A hashban, ha egy karaktert változtatsz, az egész hash teljesen más. Az egyetlen módja annak, hogy egy támadó ismerje a jelszavát, hogy a hash( a szivárványtáblákon) nem kényszerítheti a hashot.
Ami a hasonlóság kérdését illeti, attól függ, hogy mit támad a támadó rólad. Ha megkapom a jelszavát az A webhelyen, és ha tudom, hogy bizonyos mintákat használ a felhasználónevek létrehozásához vagy ilyenhez hasonlóan, akkor megpróbálhatom ugyanazokat a konvenciókat a jelszavakkal az Ön által használt webhelyeken.
Másik megoldásként a fenti jelszavakban, ha támadóként látok egy olyan nyilvánvaló mintát, amelyet a jelszó helyspecifikus részének elválasztására használhatok a generikus jelszó részből, határozottan meg fogom adni egy egyéni jelszónak azt a részét,személyre szabott.
Például azt mondja, hogy szuper biztonságos jelszó van, mint a 58htg% HF! C.Ha ezt a jelszót különböző webhelyeken szeretné használni, egy webhelyspecifikus elemet hozzá kell adnia az elejéhez, így olyan jelszavakat használhat, mint: facebook58htg% HF! C, wellsfargo58htg% HF! C vagy gmail58htg% HF! C.hack a facebook és kap facebook58htg% HF! c fogom látni ezt a mintát, és használja azt más helyeken találom, hogy használhatja.
Mindez a mintákhoz tartozik. Megjelenik-e a támadó egy minta a webhelyspecifikus szakaszban és a jelszó általános részében?
Egy másik Superuser közreműködő, Michael Trausch elmagyarázza, hogy a legtöbb esetben a hipotetikus helyzet nem aggodalomra ad okot:
Az első rész megválaszolásához először: Igen, ez megváltoztatná, ha a nyilvánosságra hozott adatok szöveges szövegek és hassák között lennének. A hashban, ha egy karaktert változtatsz, az egész hash teljesen más. Az egyetlen módja annak, hogy egy támadó ismerje a jelszavát, hogy a hash( a szivárványtáblákon) nem kényszerítheti a hashot.
Ami a hasonlóság kérdését illeti, attól függ, hogy mit támad a támadó rólad. Ha megkapom a jelszavát az A webhelyen, és ha tudom, hogy bizonyos mintákat használ a felhasználónevek létrehozásához vagy ilyenhez hasonlóan, akkor megpróbálhatom ugyanazokat a konvenciókat a jelszavakkal az Ön által használt webhelyeken.
Másik megoldásként a fent megadott jelszavakban, ha támadóként látok egy olyan nyilvánvaló mintát, amelyet a jelszó egy webhelyspecifikus részének elválasztására használhatok a generikus jelszórészről, biztosan megteszem az egyéni jelszó azon részétszemélyre szabott.
Például mondja, hogy van egy szuper biztonságos jelszó, mint a 58htg% HF! C.Ha ezt a jelszót különböző webhelyeken szeretné használni, egy webhelyspecifikus elemet hozzá kell adnia az elejéhez, így olyan jelszavakat használhat, mint: facebook58htg% HF! C, wellsfargo58htg% HF! C vagy gmail58htg% HF! C.hack a facebook és kap facebook58htg% HF! c fogom látni ezt a mintát, és használja azt más helyeken találom, hogy használhatja.
Minden a mintákhoz tartozik. Megjelenik-e a támadó egy minta a webhelyspecifikus szakaszban és a jelszó általános részében?
Ha aggódsz, hogy az aktuális jelszó-lista nem sokszínű és eléggé véletlenszerű, javasoljuk, hogy ellenőrizze az átfogó jelszavas biztonsági útmutatót: Hogyan térjünk vissza az e-mail jelszavának kompromisszumát követően? A jelszólisták átdolgozásával, mintha az összes jelszavának anyja, az e-mail jelszava veszélybe került volna, könnyen el lehet gyorsítani a jelszó portfolióját.
Van valami, amit hozzá lehet adni a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.
