20Aug
Ja viena no jūsu parolēm ir apdraudēta, vai tas automātiski nozīmē, ka arī jūsu citas paroles tiek apdraudētas? Lai gan spēlē ir diezgan daudz mainīgo lielumu, jautājums ir interesants izskats par to, kas padara paroli neaizsargātu un ko jūs varat darīt, lai aizsargātu sevi.
Šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange dalību, Q & A tīmekļa vietņu kopienas vadīšanas grupu.
Jautājums
SuperUser lasītājs Michael McGowan ir ziņkārīgs, cik lielā mērā sasniedzot vienotā paroles pārrāvuma ietekmi;viņš raksta:
Pieņemsim, ka lietotājs vietnē B izmanto vietnei A drošu paroli un citu, bet līdzīgu drošu paroli. Varbūt kaut kas līdzīgs mySecure12 # PasswordA vietnē A un mySecure12 # PasswordB vietnē B( jūtieties brīvi izmantot citu definīciju"Līdzība", ja tas ir jēga).
Pieņemsim, ka tad vietnes A parole tiek kaut kā apdraudēta. .. varbūt vietnes A ļaunprātīgais darbinieks vai drošības noplūde. Vai tas nozīmē, ka arī vietnes B parole ir tikusi apdraudēta, vai šajā kontekstā nav tādas lietas kā "paroli līdzība"?Vai ir kāda atšķirība, vai kompromiss vietnē A bija vienkārša teksta noplūde vai izmainīta versija?
Vai Michael jāuztraucas, ja viņa hipotētiskā situācija nonāk?
Atbildes
SuperUser atbildētāji palīdzēja atrisināt jautājumu par Michael. Superuser atbalsta sniedzējs Queso raksta:
Lai atbildētu uz pēdējo daļu: Jā, tas būtu izšķiroši, ja atklātie dati būtu skaidrs teksts, nevis maize. Ja esat mainījis vienu rakstzīmi, viss hash ir pavisam citāds. Vienīgais veids, kā uzbrucējs varētu uzzināt paroli, ir brutāls spēks, kas ir hash( nav neiespējami, jo īpaši, ja hash ir nesasalcināts. Skatiet varavīksnes tabulas).
Attiecībā uz līdzības jautājumu tas būtu atkarīgs no tā, ko uzbrucējs zina par tevi. Ja es saņemšu savu paroli vietnē A, un, ja es zinu, ka izmantojat noteiktus modeļus, lai izveidotu lietotājvārdus vai citus, es varētu izmēģināt tās pašas paroles jūsu izmantotajās vietnēs.
Var arī norādīt iepriekš norādītās paroles, ja es kā uzbrucējs redzu acīmredzamu modeli, ko varu izmantot, lai no parastā porta noņemtu paroles daļu no paroles konkrētu portālu, noteikti to padarīšu par parastu uzbrukumujums pielāgota.
Piemēram, teiksim, ka jums ir ļoti droša parole, piemēram, 58htg% HF! C.Lai izmantotu šo paroli dažādās vietnēs, jūs sākat pievienot objektam specifisku vietni, lai jums būtu tādas paroles kā: facebook58htg% HF! C, wellsfargo58htg% HF! C vai gmail58htg% HF! C, jūs varat bet, ja esbanalizējiet savu facebook un saņemsiet facebook58htg% HF! c Es redzēšu šo modeli un izmantoju to citās vietās, ko es uzskatu, ka jūs varat to izmantot.
Viss ir atkarīgs no modeļiem. Vai uzbrucējs redzēs jūsu portāla portfeļa un paroles kopējās daļas paraugu?
Vēl viens Superuser atbalstītājs, Michael Trausch, paskaidro, kā lielākajā daļā gadījumu hipotētiskā situācija nav daudz iemeslu bažām:
Lai atbildētu uz pēdējo daļu pirmkārt: Jā, tas būtu izšķirošs, ja atklātie dati būtu skaidrs teksts pret maiņu. Ja esat mainījis vienu rakstzīmi, viss hash ir pavisam citāds. Vienīgais veids, kā uzbrucējs varētu uzzināt paroli, ir brutāls spēks, kas ir hash( nav neiespējami, jo īpaši, ja hash ir nesasalcināts. Skatiet varavīksnes tabulas).
Attiecībā uz līdzības jautājumu tas būtu atkarīgs no tā, ko uzbrucējs zina par tevi. Ja es saņemšu savu paroli vietnē A, un, ja es zinu, ka izmantojat noteiktus modeļus, lai izveidotu lietotājvārdus vai citus, es varētu izmēģināt tās pašas paroles jūsu izmantotajās vietnēs.
Var arī norādīt iepriekš norādītās paroles, ja es kā uzbrucējs redzu acīmredzamu modeli, ko es varu izmantot, lai atsevišķu portālu daļu no parastās porcijas nošķīstu no portāla, es noteikti to padarīšu par parastu uzbrukumujums pielāgota.
Piemēram, teiksim, ka jums ir ļoti droša parole, piemēram, 58htg% HF! C.Lai izmantotu šo paroli dažādās vietnēs, jūs sākat pievienot objektam specifisku vietni, lai jums būtu tādas paroles kā: facebook58htg% HF! C, wellsfargo58htg% HF! C vai gmail58htg% HF! C, jūs varat bet, ja esbanalizējiet savu facebook un saņemsiet facebook58htg% HF! c Es redzēšu šo modeli un izmantoju to citās vietās, ko es uzskatu, ka jūs varat to izmantot.
Viss ir atkarīgs no modeļiem. Vai uzbrucējs redzēs jūsu portāla portfeļa un paroles kopējās daļas paraugu?
Ja jūs uztraucaties, ka pašreizējais paroļu saraksts nav daudzveidīgs un pietiekami izlases veida, mēs ļoti iesakām izlasīt mūsu visaptverošo paroles drošības rokasgrāmatu: Kā atgūt jūsu e-pasta paroli pēc kompromitēšanas. Pārstrādājot savus paroles sarakstus tā, it kā visu paroļu, e-pasta paroli, māte būtu apdraudēta, ir viegli ātri panākt, lai jūsu paroli būtu ātri.
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.
