20Aug
אם אחת הסיסמאות שלך נפגעת, האם זה אומר אוטומטית שגם הסיסמאות האחרות שלך נפגעות?אמנם יש לא מעט משתנים לשחק, השאלה היא מבט מעניין על מה עושה סיסמה פגיע ומה אתה יכול לעשות כדי להגן על עצמך.
השאלה של היום &מפגש תשובה מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ קהילתי של אתרי Q & A.
השאלה
SuperUser הקורא מייקל מקג 'ואן הוא סקרן עד כמה רחוק להגיע ההשפעה של הפרה סיסמה אחת היא;הוא כותב:
נניח שמשתמש משתמש בסיסמה מאובטחת באתר A וסיסמא מאובטחת אחרת אבל דומה באתר B. אולי משהו כמו mySecure12 # PasswordA באתר A ו- mySecure12 # PasswordB באתר ב '(אל תהסס להשתמש בהגדרה אחרת של"דמיון" אם זה הגיוני).
נניח שהסיסמה לאתר א 'נפגעת איכשהו. .. אולי עובד זדוני של אתר א' או דליפת אבטחה.האם זה אומר שהסיסמה של האתר B נפגעה באופן יעיל, או שמא אין "דמיון סיסמה" בהקשר זה?האם זה משנה אם הפשרה באתר א 'היתה דליפת טקסט רגיל או גרסה חדה?
האם מייקל צריך לדאוג אם המצב היפותטי שלו יעבור?
התשובה
תורמים SuperUser עזר לנקות את הבעיה עבור מייקל.סופר עוזרת Queso כותב:
כדי לענות על החלק האחרון הראשון: כן, זה היה עושה את ההבדל אם הנתונים שנחשפו היו cleartext לעומת hashed.ב hash, אם תשנה דמות אחת, חשיש כולו שונה לחלוטין.הדרך היחידה שבה התוקף יידע את הסיסמה היא לכפות בכוח את החשיש( לא בלתי אפשרי, במיוחד אם החשיש אינו מואר, ראה טבלאות קשת).
ככל שאלה הדמיון, זה יהיה תלוי מה התוקף יודע עלייך.אם אני מקבל את הסיסמה שלך באתר א 'ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות אותם מוסכמות על סיסמאות באתרים שבהם אתה משתמש.
לחלופין, את הסיסמאות שאתה נותן לעיל, אם אני בתור התוקף לראות דפוס ברור שאני יכול להשתמש בו כדי להפריד חלק מסוים באתר של הסיסמה מן החלק הסיסמה הכללית, אני בהחלט להפוך את החלק הזה של התקפה סיסמה מותאמת אישיתהמותאמים לך.
לדוגמה, נניח שיש לך סיסמה מאובטחת כמו 58htg% HF! C.כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר לתחילתו, כך שיש לך סיסמאות כגון: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להתערב אם אנילפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! ג אני הולך לראות את זה דפוס ולהשתמש בו באתרים אחרים אני מוצא כי אתה יכול להשתמש.
הכל מסתכם בדפוסים.האם התוקף יראה תבנית בחלק הספציפי לאתר ואת החלק הגנרי של הסיסמה שלך?
תורם נוסף, Michael Trausch, מסביר כיצד ברוב המקרים המצבים ההיפותטיים אינם גורמים לדאגה רבה:
כדי לענות על החלק האחרון: כן, יהיה זה משנה אם הנתונים שנחשפו היו קליארטקסט לעומת אשד.ב hash, אם תשנה דמות אחת, חשיש כולו שונה לחלוטין.הדרך היחידה שבה התוקף יידע את הסיסמה היא לכפות בכוח את החשיש( לא בלתי אפשרי, במיוחד אם החשיש אינו מואר, ראה טבלאות קשת).
ככל שאלה הדמיון, זה יהיה תלוי מה התוקף יודע עלייך.אם אני מקבל את הסיסמה שלך באתר א 'ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות אותם מוסכמות על סיסמאות באתרים שבהם אתה משתמש.
לחלופין, את הסיסמאות שאתה נותן לעיל, אם אני בתור תוקף לראות דפוס ברור שאני יכול להשתמש בו כדי להפריד חלק מסוים באתר של הסיסמה מן החלק הסיסמה הגנרית, אני בהחלט להפוך את החלק הזה של התקפה סיסמה מותאמת אישיתהמותאמים לך.
לדוגמה, נניח שיש לך סיסמה מאובטחת כמו 58htg% HF! C.כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר לתחילתו, כך שיש לך סיסמאות כגון: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להתערב אם אנילפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! ג אני הולך לראות את זה דפוס ולהשתמש בו באתרים אחרים אני מוצא כי אתה יכול להשתמש.
הכל מסתכם בדפוסים.האם התוקף יראה תבנית בחלק הספציפי לאתר ואת החלק הגנרי של הסיסמה שלך?
אם אתה מודאג כי רשימת הסיסמאות הנוכחית היא לא מגוונת אקראית מספיק, אנו ממליצים בחום לבדוק את המדריך מקיף אבטחה הסיסמה: כיצד לשחזר לאחר הסיסמה הדוא"ל שלך מתפשר.על ידי עיבוד מחדש של רשימות הסיסמה שלך כמו אם של כל הסיסמאות, את הסיסמה הדוא"ל שלך, כבר בסכנה, קל להביא במהירות את תיקיית הסיסמה שלך עד מהירות.
יש מה להוסיף להסבר?נשמע את ההערות.רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי?בדוק את נושא הדיון המלא כאן.
