20Aug
Ak dôjde k ohrozeniu niektorého z vašich hesiel, automaticky to znamená, že vaše ostatné heslá sú tiež ohrozené?Zatiaľ čo v hre je pomerne málo premenných, otázkou je zaujímavý pohľad na to, čo robí heslo zraniteľným a čo môžete urobiť, aby ste sa ochránili.
dnešná otázka &Odpoveď na zasadnutie nám prináša zdvorilosť SuperUser - subdivizácia Stack Exchange, skupinové zdieľanie webových stránok Q & A.
Otázka
čítačka SuperUser Michael McGowan je zvedavá, ako ďaleko dosahuje dopad jedného porušenia hesla;píše:
Predpokladajme, že používateľ používa bezpečné heslo na lokalite A a iné podobné bezpečnostné heslo na lokalite B. Možno niečo ako mySecure12 # PasswordA na stránkach A a mySecure12 # PasswordB na webe B( neváhajte používať inú definíciu"Podobnosť", ak má zmysel).
Predpokladajme teda, že heslo pre lokalitu A je nejako ohrozené. .. možno zlomyseľným zamestnancom stránok A alebo bezpečnostnou netesnosťou. Znamená to, že heslo stránky B bolo tiež účinne ohrozené, alebo v tomto kontexte neexistuje žiadna podobná vec ako "podobnosť hesla"?Má nejaký rozdiel, či bol kompromis na webe A prostý text únik alebo hash verziu?
Mal by Michael starosti, či sa jeho hypotetická situácia stane?
Odpovedia na odpoveď
SuperUser pomohli vyriešiť problém pre Michaela. Superuser prispievateľ: Quesdo píše:
Najskôr odpovedať na poslednú časť: Áno, malo by to rozdiel, keby boli zverejnené údaje jasné a hášiace. V hash, ak zmeníte jeden znak, celý hash je úplne iný.Jediný spôsob, ako by útočník vedel, že je heslo, je brutálna sila hašu( nie je to nemožné, hlavne v prípade, že hash nie je nasadený).
Pokiaľ ide o otázku podobnosti, závisí to od toho, čo o vás útočník vie. Ak dostanem svoje heslo na stránkach A a ak viem, že používate určité vzorce na vytváranie mien používateľov alebo podobných, môžem vyskúšať tie isté konvencie o heslách na stránkach, ktoré používate.
Prípadne v heslách, ktoré uvádzate vyššie, ak ako útočník vidím zjavný vzor, ktorý môžem použiť na oddelenie špecifickej časti hesla od časti všeobecného hesla, určite urobím tú časť útoku vlastného heslaprispôsobené vám.
Napríklad, povedzme, že máte super bezpečné heslo ako 58htg% HF! C.Ak chcete používať toto heslo na rôznych stránkach, pridajte na začiatok konkrétnu položku, aby ste mali heslá, ako napríklad: facebook58htg% HF! C, wellsfargo58htg% HF! C alebo gmail58htg% HF! C, môžete sa staviť,hack facebook a dostať facebook58htg% HF! C Budem vidieť, že vzor a používať ho na iných stránkach Zistil som, že môžete použiť.
To všetko sa týka vzorov. Zobrazí útočník vzor v porte špecifickej pre danú lokalitu a všeobecnú časť vášho hesla?
Ďalším prispievateľom Superuserom Michaelom Trauschom sa vysvetľuje, ako vo väčšine situácií nie je hypotetická situácia dôvodom na starosť:
Najskôr odpovedať na poslednú časť: Áno, malo by to rozdiel, keby boli zverejnené údaje jasné a hášiace. V hash, ak zmeníte jeden znak, celý hash je úplne iný.Jediný spôsob, ako by útočník vedel, že je heslo, je brutálna sila hašu( nie je to nemožné, hlavne v prípade, že hash nie je nasadený).
Pokiaľ ide o otázku podobnosti, závisí to od toho, čo o vás útočník vie. Ak dostanem svoje heslo na stránkach A a ak viem, že používate určité vzorce na vytváranie mien používateľov alebo podobných, môžem vyskúšať tie isté konvencie o heslách na stránkach, ktoré používate.
Prípadne v heslách, ktoré uvádzate vyššie, ak ako útočník vidím zjavný vzor, ktorý môžem použiť na oddelenie špecifickej časti hesla od časti generického hesla, určite urobím tú časť útoku vlastného heslaprispôsobené vám.
Napríklad povedzme, že máte super bezpečné heslo ako 58htg% HF! C.Ak chcete používať toto heslo na rôznych stránkach, pridajte na začiatok konkrétnu položku, aby ste mali heslá, ako napríklad: facebook58htg% HF! C, wellsfargo58htg% HF! C alebo gmail58htg% HF! C, môžete sa staviť,hack facebook a dostať facebook58htg% HF! C Budem vidieť, že vzor a používať ho na iných stránkach Zistil som, že môžete použiť.
To všetko sa blíži k vzorom. Zobrazí útočník vzor v porte špecifickej pre danú lokalitu a všeobecnú časť vášho hesla?
Ak máte obavy, že aktuálny zoznam hesiel nie je rôznorodý a dostatočne náhodný, dôrazne odporúčame skontrolovať našu komplexnú sprievodcu zabezpečením hesla: Ako obnoviť heslo po vašom e-mailu je kompromisné.Prepracovaním zoznamov hesiel, ako keby matka všetkých hesiel, váš e-mail heslo bolo ohrozené, je ľahké rýchlo priniesť svoje portfólio hesiel rýchlosťou.
Máte čo pridať k vysvetleniu? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.