20Aug
Se uma das suas senhas está comprometida, isso significa automaticamente que suas outras senhas também estão comprometidas? Embora existam algumas variáveis em jogo, a questão é um olhar interessante sobre o que torna a senha vulnerável e o que você pode fazer para se proteger.
Today's Question &A sessão de resposta vem a nós com cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de unidade comunitária de sites Q e A.
O questionário
SuperUser Michael McGowan tem curiosidade quanto ao alcance do impacto de uma única violação de senha;ele escreve:
Suponha que um usuário use uma senha segura no site A e uma senha segura diferente mas similar no site B. Talvez algo como mySecure12 # PasswordA no site A e mySecure12 # PasswordB no site B( sinta-se livre para usar uma definição diferente de"Semelhança" se tiver sentido).
Suponha, então, que a senha do site A está de alguma forma comprometida. .. talvez um funcionário mal-intencionado do site A ou um vazamento de segurança. Isso significa que a senha do site B efetivamente foi comprometida também, ou não existe tal como "similaridade de senha" neste contexto? Não faz diferença se o compromisso no site A foi um vazamento de texto simples ou uma versão hash?
Se Michael se preocupar se sua situação hipotética acontecer?
A resposta Os contribuidores
SuperUser ajudaram a esclarecer o problema para Michael. O colaborador do superusuário Queso escreve:
Para responder a primeira parte primeiro: Sim, faria a diferença se os dados divulgados fossem claros versus armadilhas. Em um hash, se você mudar um único personagem, o hash inteiro é completamente diferente. A única maneira que um invasor saberia a senha é forçar a força bruta no hash( não é impossível, especialmente se o hash não é salvo), veja as tabelas do arco-íris).
No que diz respeito à questão de similaridade, dependeria do que o atacante conhece sobre você.Se eu receber sua senha no site A e se eu saber que você usa certos padrões para criar nomes de usuário ou tal, eu posso tentar essas mesmas convenções em senhas em sites que você usa.
Em alternativa, nas senhas que você dá acima, se eu, como um atacante, ver um padrão óbvio que posso usar para separar uma porção específica do site da senha da parte da senha genérica, definitivamente vou fazer parte de um ataque de senha personalizadoadaptado a você.
Como exemplo, diga que você tem uma senha super segura como 58 htg% HF! C.Para usar esta senha em diferentes sites, você adiciona um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eucorte seu facebook e obtenha facebook58htg% HF! c Eu vou ver esse padrão e usá-lo em outros sites que eu acho que você pode usar.
Tudo se resume a padrões. O atacante verá um padrão na porção específica do site e na parte genérica de sua senha?
Outro colaborador do superusuário, Michael Trausch, explica como, na maioria das situações, a situação hipotética não é motivo de preocupação:
Para responder a primeira parte primeiro: sim, faria a diferença se os dados divulgados fossem claras em relação ao hash. Em um hash, se você mudar um único personagem, o hash inteiro é completamente diferente. A única maneira que um invasor saberia a senha é forçar a força bruta no hash( não é impossível, especialmente se o hash não é salvo), veja as tabelas do arco-íris).
Quanto à questão de semelhança, dependeria do que o atacante conhece sobre você.Se eu receber sua senha no site A e se eu saber que você usa certos padrões para criar nomes de usuário ou tal, eu posso tentar essas mesmas convenções em senhas em sites que você usa.
Alternativamente, nas senhas que você atribui acima, se eu, como atacante, ver um padrão óbvio que eu possa usar para separar uma parte específica do site da senha da parte de senha genérica, definitivamente vou fazer parte de um ataque de senha personalizadoadaptado a você.
Como exemplo, diga que você tenha uma senha super segura como 58 htg% HF! C.Para usar esta senha em diferentes sites, você adiciona um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eucorte seu facebook e obtenha facebook58htg% HF! c Eu vou ver esse padrão e usá-lo em outros sites que eu acho que você pode usar.
Tudo se resume a padrões. O atacante verá um padrão na porção específica do site e na parte genérica de sua senha?
Se você está preocupado com o fato de sua lista de senha atual não ser diversificada e aleatória, recomendamos que consulte nosso guia abrangente de segurança de senha: como recuperar após sua senha de e-mail é comprometida. Ao retrabalhar suas listas de senhas como se a mãe de todas as senhas, sua senha de e-mail, tenha sido comprometida, é fácil trazer seu portfólio de senhas de forma rápida.
Tem alguma coisa a adicionar à explicação? Som na parte dos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.
