20Aug
Hvis et av dine passord er kompromittert, betyr det automatisk at de andre passordene dine også blir kompromittert? Selv om det er ganske mange variabler på spill, er spørsmålet et interessant blikk på hva som gjør et passord sårbart og hva du kan gjøre for å beskytte deg selv.
Dagens Spørsmål &Svar-økt kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrift gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser-leseren Michael McGowan er nysgjerrig på hvor langt nå effekten av et enkelt passordbrudd er;han skriver:
Anta at en bruker bruker et sikkert passord på nettsted A og et annet, men lik sikkert sikkert passord på nettsted B. Kanskje noe som mySecure12 # PasswordA på nettstedet A og mySecure12 # PasswordB på nettstedet B( gjerne bruke en annen definisjon av"Likhet" hvis det gir mening).
Anta da at passordet for nettsted A på en eller annen måte er skadet. .. kanskje en ondsinnet ansatt på nettsted A eller en sikkerhetslekkasje. Betyr dette at passordet til nettsted B faktisk har blitt kompromittert, eller er det ikke noe slikt som "passord likhet" i denne sammenheng? Gjør det noen forskjell om kompromisset på nettsted A var en vanlig tekstlekkasje eller en hashed-versjon?
Skal Michael bekymre seg om hans hypotetiske situasjon kommer til å passere?
Svaret
SuperUser-bidragsytere bidro til å løse problemet for Michael. Superbruker bidragsyter Queso skriver:
Å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis de oppgitte dataene var cleartext vs hashed. I en hash, hvis du endrer en enkelt karakter, er hele hasen helt annerledes. Den eneste måten en angriper ville vite passordet er å brute tvinge hash( ikke umulig, spesielt hvis hash er usaltet. Se regnbue tabeller).
Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettstedet A, og hvis jeg vet at du bruker visse mønstre for å lage brukernavn eller lignende, kan jeg prøve de samme konvensjonene på passord på nettsteder du bruker.
Alternativt, i passordene du gir ovenfor, hvis jeg som angriper ser et opplagt mønster som jeg kan bruke til å skille en sideavhengig del av passordet fra den generiske passorddelen, vil jeg definitivt gjøre den delen av et egendefinert passord angrepskreddersydd for deg.
Som et eksempel, si du har et super sikkert passord som 58htg% HF! C.For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedsspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse om jeghack din facebook og få facebook58htg% HF! c Jeg kommer til å se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.
Alt kommer ned til mønstre. Vil angriperen se et mønster i den nettstedspesifikke delen og generiske delen av passordet ditt?
En annen superbrukers bidragsyter, Michael Trausch, forklarer hvordan de hypotetiske situasjonene i de fleste situasjoner ikke er stor grunn til bekymring:
Å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis de oppgitte dataene var klartext versus hashed. I en hash, hvis du endrer en enkelt karakter, er hele hasen helt annerledes. Den eneste måten en angriper ville vite passordet er å brute tvinge hash( ikke umulig, spesielt hvis hash er usaltet. Se regnbue tabeller).
Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettstedet A, og hvis jeg vet at du bruker visse mønstre for å lage brukernavn eller lignende, kan jeg prøve de samme konvensjonene på passord på nettsteder du bruker.
Alternativt, i passordene du oppgir ovenfor, hvis jeg som angriper ser et opplagt mønster som jeg kan bruke til å skille en sideavhengig del av passordet fra den generiske passorddelen, vil jeg definitivt gjøre den delen av et egendefinert passord angrepskreddersydd for deg.
Som et eksempel, si du har et super sikkert passord som 58htg% HF! C.For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedsspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse om jeghack din facebook og få facebook58htg% HF! c Jeg kommer til å se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.
Alt kommer ned til mønstre. Vil angriperen se et mønster i den nettstedspesifikke delen og generiske delen av passordet ditt?
Hvis du er bekymret for at din nåværende passordliste ikke er mangfoldig og tilfeldig nok, anbefaler vi sterkt å sjekke ut vår omfattende passord sikkerhetsguide: Slik gjenoppretter du etter at passordet ditt er kompromittert. Ved å omarbeide passordlistene som om moren til alle passordene, ditt e-postpassord, er blitt kompromittert, er det enkelt å raskt ta med passordporteføljen din i rask tempo.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.