20Aug
Dacă una dintre parolele dvs. este compromisă, înseamnă automat că celelalte parole sunt, de asemenea, compromise?În timp ce există destul de multe variabile la joc, întrebarea este o privire interesantă asupra a ceea ce face ca o parolă să fie vulnerabilă și ce puteți face pentru a vă proteja.
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații cu unitățile de comunicații Q & A.
Întrebarea
SuperUser cititorul Michael McGowan este curios cât de mult ajunge la impactul unei încălcări a unei singure parole;el scrie:
Să presupunem că un utilizator folosește o parolă securizată la site-ul A și o parolă securizată diferită, dar similară, la site-ul B. Poate ceva de genul mySecure12 # PasswordA pe site-ul A și mySecure12 # PasswordB pe site-ul B( nu ezitați să utilizați o altă definiție a"Similitudine" dacă are sens).
Să presupunem că parola pentru site-ul A este compromisă. .. poate un angajat rău intenționat al site-ului A sau o scurgere de securitate. Acest lucru înseamnă că parola site-ului B a fost efectiv compromisă, sau nu există nici un fel de "similaritate de parolă" în acest context? Are vreo diferență dacă compromisul de pe site-ul A a fost o scurgere de text simplu sau o versiune ruptă?
Ar trebui Michael să-și facă griji dacă se va întâmpla situația ipotetică?
Participantii la raspunsul
SuperUser au ajutat la rezolvarea problemei pentru Michael. Contribuabilul superuser Queso scrie:
Pentru a răspunde mai întâi la ultima parte: Da, ar fi o diferență dacă datele dezvăluite au fost clar text versus hashed.Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash( nu este imposibil, mai ales dacă hash-ul nu este salvat.
În ceea ce privește întrebarea de similitudine, ar depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
Alternativ, în parolele pe care le dați mai sus, dacă eu, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică de parole, voi face cu siguranță acea parte dintr-un atac de parolă personalizatadaptate pentru tine.
Ca exemplu, spuneți că aveți o parolă super-sigură, cum ar fi 58htg% HF! C.Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, astfel încât să aveți parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C,hack facebook dvs. și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți folosi.
Totul coboară la tipare. Va apărea atacatorul un model în porțiunea specifică site-ului și o porțiune generică a parolei?
Un alt contribuitor al Superuserului, Michael Trausch, explică modul în care în cele mai multe situații situația ipotetică nu este un motiv de îngrijorare:
Pentru a răspunde mai întâi la ultima parte: Da, ar fi o diferență dacă datele dezvăluite ar fi fost clar text versus hashed.Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash( nu este imposibil, mai ales dacă hash-ul nu este salvat.
În ceea ce privește întrebarea de similitudine, depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
Alternativ, în parolele pe care le dați mai sus, dacă eu, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică de parolă, voi face cu siguranță acea parte dintr-un atac de parolă personalizatadaptate pentru tine.
Spre exemplu, spuneți că aveți o parolă super securizată ca 58htg% HF! C.Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, astfel încât să aveți parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C,hack facebook dvs. și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți folosi.
Totul coboară la tipare. Va apărea atacatorul un model în porțiunea specifică site-ului și o porțiune generică a parolei?
Dacă sunteți preocupat de faptul că lista de parole curente nu este diversă și destul de aleatoare, vă recomandăm să consultați ghidul nostru de securitate cuprinzător privind parolele: Cum să vă recuperați după ce parola dvs. de e-mail este compromisă.Prin reconfigurarea listelor de parole ca și cum mama tuturor parolelor, parola dvs. de e-mail, a fost compromisă, este ușor să aduceți rapid portofoliul de parole la viteză.
Trebuie să adăugați ceva la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.