20Aug

Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?

Jei vienas iš jūsų slaptažodžių yra pažeistas, tai automatiškai reiškia, kad jūsų kiti slaptažodžiai taip pat yra pažeisti? Nors žaidime yra nemažai kintamųjų, klausimas yra įdomus požiūris į tai, kas pažeidžia slaptažodį ir ką galite padaryti, kad apsisaugotumėte.

Šiandienos klausimas &Atsakymų sesija ateina pas mus "SuperUser" - "Stack Exchange", "Q & A" svetainių bendruomenės naršyklės padalinys.

Klausimas

SuperUser skaitytojas Michael McGowan yra įdomu, kiek pasiekė vieno slaptažodžio pažeidimo poveikį;jis rašo:

Tarkime, kad vartotojas naudoja saugų slaptažodį svetainėje A ir kitokį, bet panašų saugų slaptažodį svetainėje B. Galbūt kažkas panašaus į mySecure12 # PasswordA svetainėje ir mySecure12 # PasswordB svetainėje B( galite laisvai naudoti kitą apibrėžimą"Panašumas", jei tai prasminga).

Tarkime, kad svetainės A slaptažodis yra kažkaip pažeistas. .. galbūt kenkėjiškas A svetainės darbuotojas arba saugumo nutekėjimas. Ar tai reiškia, kad svetainės B slaptažodis taip pat buvo pažeistas, ar šiuo atveju tokio dalyko kaip "slaptažodžio panašumas" nėra? Ar įtakoja, ar kompromisas svetainėje A buvo paprasto teksto nuotėkio ar maišytos versijos?

Ar Michael turėtų nerimauti dėl jo hipotetinės situacijos?

"Atsakymas"

"SuperUser" dalyviai padėjo išaiškinti Michael problemą."Superuser" autorius Queso rašo: "

". Norėdami atsakyti į paskutinę dalį pirmiau: taip, tai būtų įmanoma, jei atskleisti duomenys būtų "cleartext" arba "hash".Jei keičia vieną simbolį, visas maišas yra visiškai kitoks. Vienintelis būdas, kuriuo užpuolikas žinotų slaptažodį, yra grubus jėgos maišas( ne neįmanoma, ypač jei maišas yra nesūdytas. Žr. Vaivorykštės lenteles).

Kalbant apie panašumo klausimą, tai priklausys nuo to, ką užpuolikas žino apie jus. Jei aš gaunu jūsų slaptažodį svetainėje A ir, jei žinau, kad naudojate tam tikrus modelius, kad sukurtumėte naudotojų vardus ar pan., Aš galėčiau išbandyti tas pačias taisykles jūsų naudojamų svetainių slaptažodžiais.

Be to, anksčiau pateiktuose slaptažodžiuose, jei aš kaip užpuolikas mato akivaizdų modelį, kurį galiu naudoti norint atskirti konkrečios svetainės dalį slaptažodžio iš bendrosios slaptažodžio dalies, aš tikrai padarysiu tą dalį pasirinkto slaptažodžio atakospritaikyta tau.

Pavyzdžiui, pasakykite, kad turite labai saugų slaptažodį, pavyzdžiui, 58htg% HF! C.Jei norite naudoti šį slaptažodį kitose svetainėse, prie svetainės pridedate konkrečios svetainės elementą, kad turėtumėte turėti slaptažodžių, tokių kaip: facebook58htg% HF! C, wellsfargo58htg% HF! C arba gmail58htg% HF! C, galite statyti, jei ašpaimkite savo "Facebook" ir gaukite facebook58htg% HF! c Aš žiūrėsiu šį modelį ir naudosiu jį kitose svetainėse, kurias manau, kad galite naudoti.

Viskas priklauso nuo modelių.Ar užpuolikas pamatys svetainės specifinės dalies ir bendrosios slaptažodžio dalies modelį?

Kitas "Superuser" autorius Michael Trausch paaiškina, kaip daugeliu atvejų hipotetinė situacija nėra daug priežasčių kelti susirūpinimą:

. Norėdami atsakyti į paskutinę pirmąją dalį: taip, būtų aišku, ar atskleisti duomenys yra aiškus tekstas ar maišymas. Jei keičia vieną simbolį, visas maišas yra visiškai kitoks. Vienintelis būdas, kuriuo užpuolikas žinotų slaptažodį, yra grubus jėgos maišas( ne neįmanoma, ypač jei maišas yra nesūdytas. Žr. Vaivorykštės lenteles).

Kalbant apie panašumo klausimą, tai priklausys nuo to, ką užpuolikas žino apie jus. Jei aš gaunu jūsų slaptažodį svetainėje A ir, jei žinau, kad naudojate tam tikrus modelius, kad sukurtumėte naudotojų vardus ar pan., Aš galėčiau išbandyti tas pačias taisykles jūsų naudojamų svetainių slaptažodžiais.

Be to, anksčiau pateiktuose slaptažodžiuose, jei aš kaip užpuolikas mato akivaizdų modelį, kurį galiu naudoti norint atskirti konkrečios svetainės dalį nuo bendrojo slaptažodžio, aš tikrai padarysiu tą dalį savo pasirinkto slaptažodžio atakospritaikyta tau.

Pavyzdžiui, pasakykite, kad turite labai saugų slaptažodį, pvz., 58htg% HF! C.Jei norite naudoti šį slaptažodį kitose svetainėse, prie svetainės pridedate konkrečios svetainės elementą, kad turėtumėte turėti slaptažodžių, tokių kaip: facebook58htg% HF! C, wellsfargo58htg% HF! C arba gmail58htg% HF! C, galite statyti, jei ašpaimkite savo "Facebook" ir gaukite facebook58htg% HF! c Aš žiūrėsiu šį modelį ir naudosiu jį kitose svetainėse, kurias manau, kad galite naudoti.

Viskas priklauso nuo modelių.Ar užpuolikas pamatys svetainės specifinės dalies ir bendrosios slaptažodžio dalies modelį?

Jei esate susirūpinęs, kad dabartinis slaptažodžių sąrašas nėra įvairesnis ir pakankamai atsitiktinis, mes labai rekomenduojame patikrinti išsamią slaptažodžio saugos vadovą: kaip atkurti po to, kai jūsų elektroninio pašto slaptažodis yra pažeistas. Perdirbę savo slaptažodžių sąrašus, kaip ir visų slaptažodžių motina, jūsų el. Pašto slaptažodis buvo pažeistas, lengvai paspartinti slaptažodžių portfelio greitį.

Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.