20Aug

Als een van mijn wachtwoorden wordt aangetast, raken ook mijn andere wachtwoorden gecompromitteerd?

Als een van uw wachtwoorden is aangetast, betekent dat dan automatisch dat uw andere wachtwoorden ook worden aangetast? Hoewel er nogal wat variabelen in het spel zijn, is de vraag een interessante blik op wat een wachtwoord kwetsbaar maakt en wat u kunt doen om uzelf te beschermen.

De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-drive groep van Q & A-websites.

De vraag

SuperUser-lezer Michael McGowan is benieuwd hoe ver de impact van een enkele inbreuk op het wachtwoord is;hij schrijft:

Stel dat een gebruiker een veilig wachtwoord gebruikt op site A en een ander maar vergelijkbaar beveiligd wachtwoord op site B. Misschien iets als mySecure12 # PasswordA op site A en mySecure12 # PasswordB op site B( voel je vrij om een ​​andere definitie van"Gelijkenis" als het zinvol is).

Stel dat het wachtwoord voor site A op de een of andere manier is aangetast. .. misschien een kwaadwillende medewerker van site A of een beveiligingslek. Betekent dit dat het wachtwoord van site B ook daadwerkelijk is gecompromitteerd of bestaat er in dit verband niet zoiets als 'wachtwoordovereenkomst'?Maakt het enig verschil of het compromis op site A een lek in platte tekst of een hash-versie was?

Moet Michael zich zorgen maken als zijn hypothetische situatie voorbij komt?

Het antwoord

SuperUser-bijdragers hebben geholpen het probleem voor Michael op te lossen. Superuser-bijdrager Queso schrijft:

Om eerst het laatste deel te beantwoorden: Ja, het zou een verschil maken als de gegevens die werden onthuld cleartext versus hashed waren. In een hash, als je een enkel teken verandert, is de hele hash compleet anders. De enige manier waarop een aanvaller het wachtwoord kent, is om de hash brute kracht te geven( niet onmogelijk, vooral als de hash ongezouten is, zie rainbow-tabellen).

Wat betreft de gelijkenis vraag, het zou afhangen van wat de aanvaller van je weet. Als ik uw wachtwoord ontvang op site A en als ik weet dat u bepaalde patronen gebruikt voor het maken van gebruikersnamen of dergelijke, kan ik diezelfde conventies proberen over wachtwoorden op sites die u gebruikt.

Als alternatief, in de wachtwoorden die je hierboven geeft, als ik als aanvaller een duidelijk patroon zie dat ik kan gebruiken om een ​​site-specifiek gedeelte van het wachtwoord te scheiden van het generieke wachtwoordgedeelte, zal ik zeker dat deel van een aangepast wachtwoordaanval makenop maat gemaakt voor u.

Stel bijvoorbeeld dat je een superveilig wachtwoord hebt zoals 58htg% HF! C.Om dit wachtwoord op verschillende sites te gebruiken, voeg je een site-specifiek item toe aan het begin, zodat je wachtwoorden hebt zoals: facebook58htg% HF! C, wellsfargo58htg% HF! C, of ​​gmail58htg% HF! C, je kunt erop wedden als ikhack je facebook en ontvang facebook58htg% HF! c Ik ga dat patroon bekijken en gebruiken op andere sites die ik vind die je mogelijk zou kunnen gebruiken.

Het komt allemaal neer op patronen. Krijgt de aanvaller een patroon in het site-specifieke gedeelte en het algemene gedeelte van uw wachtwoord?

Een andere Superuser-bijdrager, Michael Trausch, legt uit hoe in de meeste situaties de hypothetische situatie niet erg zorgwekkend is:

Om als eerste het laatste deel te beantwoorden: Ja, het zou een verschil maken als de geopenbaarde gegevens cleartext versus hashed waren. In een hash, als je een enkel teken verandert, is de hele hash compleet anders. De enige manier waarop een aanvaller het wachtwoord kent, is om de hash brute kracht te geven( niet onmogelijk, vooral als de hash ongezouten is, zie rainbow-tabellen).

Wat betreft de gelijkenis vraag, het zou afhangen van wat de aanvaller van je weet. Als ik uw wachtwoord ontvang op site A en als ik weet dat u bepaalde patronen gebruikt voor het maken van gebruikersnamen of dergelijke, kan ik diezelfde conventies proberen over wachtwoorden op sites die u gebruikt.

Als alternatief, in de wachtwoorden die je hierboven geeft, als ik als aanvaller een duidelijk patroon zie dat ik kan gebruiken om een ​​site-specifiek deel van het wachtwoord te scheiden van het generieke wachtwoordgedeelte, zal ik zeker dat deel van een aangepast wachtwoordaanval makenop maat gemaakt voor u.

Stel bijvoorbeeld dat je een superveilig wachtwoord hebt zoals 58htg% HF! C.Om dit wachtwoord op verschillende sites te gebruiken, voeg je een site-specifiek item toe aan het begin, zodat je wachtwoorden hebt zoals: facebook58htg% HF! C, wellsfargo58htg% HF! C, of ​​gmail58htg% HF! C, je kunt erop wedden als ikhack je facebook en krijg facebook58htg% HF! c Ik ga dat patroon bekijken en gebruiken op andere sites die ik vind die je mogelijk zou kunnen gebruiken.

Het komt allemaal neer op patronen. Krijgt de aanvaller een patroon in het site-specifieke gedeelte en het algemene gedeelte van uw wachtwoord?

Als je je zorgen maakt dat je huidige wachtwoordlijst niet divers en willekeurig genoeg is, raden we je ten zeerste aan onze uitgebreide handleiding voor wachtwoordbeveiliging te raadplegen: Hoe te herstellen nadat je e-mailwachtwoord is mislukt. Door uw wachtwoordlijsten te herwerken alsof de moeder van alle wachtwoorden, uw e-mailwachtwoord, is aangetast, kunt u uw wachtwoordportefeuille snel op de juiste snelheid brengen.

Heeft u iets toe te voegen aan de uitleg? Geluid uit in de opmerkingen. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.