20Aug
Jika salah satu kata kunci Anda disusupi, apakah itu secara otomatis berarti bahwa kata sandi Anda yang lain juga terganggu? Meskipun ada beberapa variabel yang ada dalam permainan, pertanyaannya adalah melihat menarik apa yang membuat kata kunci rentan dan apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri.
Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin dari SuperUser - subdivisi dari Stack Exchange, pengelompokan komunitas dari situs web Q & A.
Pertanyaan
Pembaca superuser Michael McGowan penasaran seberapa jauh mencapai dampak pelanggaran kata kunci tunggal;dia menulis:
Misalkan pengguna menggunakan kata sandi yang aman di situs A dan kata sandi yang berbeda namun serupa di situs B. Mungkin seperti mySecure12 # PasswordA di situs A dan mySecure12 # PasswordB di situs B( merasa bebas untuk menggunakan definisi yang berbeda dari"Kesamaan" jika itu masuk akal).
Anggaplah bahwa kata sandi untuk situs A entah bagaimana dikompromikan. .. mungkin seorang karyawan berbahaya dari situs A atau kebocoran keamanan. Apakah ini berarti bahwa password situs B telah dikompromikan dengan baik juga, atau adakah kata "kesamaan password" dalam konteks ini? Apakah ada bedanya apakah kompromi di lokasi A adalah kebocoran teks biasa atau versi hash?
Haruskah Michael khawatir jika situasi hipotetisnya terjadi?
Jawaban
Kontributor SuperUser membantu membersihkan masalah ini bagi Michael. Superuser kontributor Queso menulis:
Untuk menjawab bagian terakhir lebih dulu: Ya, akan membuat perbedaan jika data yang diungkapkan adalah cleartext vs hashed. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan menggunakan hash( bukan tidak mungkin, terutama jika hashnya tidak enak. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama tentang kata sandi di situs yang Anda gunakan.
Atau, dengan kata kunci yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian kata kunci spesifik situs dari bagian kata kunci umum, saya pasti akan menjadikan bagian itu dari serangan kata sandi khususdisesuaikan denganmu
Sebagai contoh, katakanlah Anda memiliki kata sandi yang sangat aman seperti 58htg% HF! C.Untuk menggunakan kata sandi ini di berbagai situs, Anda menambahkan item khusus situs ke awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda bisa bertaruh jika sayahack facebook anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang menurut saya bisa Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian khusus situs dan bagian generik kata sandi Anda?
Kontributor Utama Superuser lainnya, Michael Trausch, menjelaskan bagaimana kebanyakan situasi hipotetis tidak banyak menimbulkan kekhawatiran:
Untuk menjawab bagian terakhir terlebih dahulu: Ya, akan membuat perbedaan jika data yang diungkapkan adalah teks bebas vs. hashed. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan menggunakan hash( bukan tidak mungkin, terutama jika hashnya tidak enak. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama tentang kata sandi di situs yang Anda gunakan.
Atau, dengan kata kunci yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian kata kunci spesifik situs dari bagian kata kunci umum, saya pasti akan menjadikan bagian itu sebagai serangan kata sandi khususdisesuaikan denganmu
Sebagai contoh, katakanlah Anda memiliki kata sandi yang sangat aman seperti HF 58htg% c. Untuk menggunakan kata sandi ini di berbagai situs, Anda menambahkan item khusus situs ke awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda bisa bertaruh jika sayahack facebook anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang menurut saya bisa Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian khusus situs dan bagian generik kata sandi Anda?
Jika Anda khawatir bahwa daftar kata sandi Anda saat ini tidak beragam dan cukup acak, kami sangat merekomendasikan untuk memeriksa panduan keamanan kata kunci komprehensif kami: Cara Recover Setelah Kata Sandi Email Anda Diompromi. Dengan mengolah ulang daftar kata sandi Anda seolah-olah ibu dari semua kata kunci, kata sandi email Anda, telah disusupi, mudah sekali membawa portofolio kata kunci Anda hingga kecepatan.
Punya sesuatu untuk ditambahkan ke penjelasan? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.