20Aug

Om ett av mina lösenord är kompromissat är mina andra lösenord kompromisserade för?

Om ett av dina lösenord äventyras, betyder det automatiskt att dina andra lösenord också äventyras?Även om det finns en hel del variabler i spel är frågan ett intressant utseende på vad som gör ett lösenord sårbart och vad du kan göra för att skydda dig själv.

Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-drive-gruppering av Q & A-webbplatser.

Frågan

SuperUser-läsare Michael McGowan är nyfiken hur långt nå effekten av ett enda lösenordsbrott är;han skriver:

Anta att en användare använder ett säkert lösenord på plats A och ett annat men lika säkert lösenord på plats B. Kanske något som mySecure12 # PasswordA på plats A och mySecure12 # PasswordB på webbplats B( gärna använda en annan definition av"Likhet" om det är vettigt).

Antag då att lösenordet för webbplats A på något sätt äventyras. .. kanske en skadlig anställd på plats A eller en säkerhetsläcka. Betecknar detta att webbplatsens B-lösenord faktiskt har äventyras eller finns det inte något sådant som "lösenordslikhet" i det här sammanhanget? Går det någon skillnad om kompromissen på plats A var en läcker text eller en hashedversion?

Skulle Michael oroa sig om hans hypotetiska situation kommer att ske?

Svaret

SuperUser-bidragsgivare hjälpte till att rensa problemet för Michael. Superbrukerbidragare Queso skriver:

För att svara på den sista delen först: Ja, det skulle göra skillnad om de angivna uppgifterna var cleartext vs hashed. I en hash, om du ändrar en enda karaktär, är hela hasen helt annorlunda. Det enda sättet en angripare skulle känna till lösenordet är att brute tvinga hasen( inte omöjligt, särskilt om hashen är osaltad. Se regnbordsbord).

När det gäller likhetsfrågan beror det på vad angriparen vet om dig. Om jag får ditt lösenord på webbplats A och om jag vet att du använder vissa mönster för att skapa användarnamn eller sådant, kan jag prova samma konventioner på lösenord på webbplatser du använder.

Alternativt, om du som attacker ser ett uppenbart mönster som jag kan använda för att skilja en webbplatsspecifik del av lösenordet från den generiska lösenordsdelen, kommer jag definitivt att göra den delen av ett anpassat lösenord angreppskräddarsydd för dig.

Som exempel, säg att du har ett super säkert lösenord som 58htg% HF! C.För att använda detta lösenord på olika webbplatser lägger du till ett sajtspecifikt objekt i början, så att du har lösenord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satsa om jaghacka din facebook och få facebook58htg% HF! c Jag kommer att se det mönstret och använda det på andra webbplatser som jag tycker att du kan använda.

Allt kommer ner till mönster. Kommer angriparen att se ett mönster i den sajtspecifika delen och generiska delen av ditt lösenord?

En annan Superuser-bidragsgivare, Michael Trausch, förklarar hur den hypotetiska situationen i de flesta situationer inte är någon anledning till oro:

För att svara på den sista delen först: Ja, det skulle göra skillnad om de angivna uppgifterna var cleartext vs hashed. I en hash, om du ändrar en enda karaktär, är hela hasen helt annorlunda. Det enda sättet en angripare skulle känna till lösenordet är att brute tvinga hasen( inte omöjligt, särskilt om hashen är osaltad. Se regnbordsbord).

När det gäller likhetsfrågan beror det på vad angriparen vet om dig. Om jag får ditt lösenord på webbplats A och om jag vet att du använder vissa mönster för att skapa användarnamn eller sådant, kan jag prova samma konventioner på lösenord på webbplatser du använder.

Alternativt, om du som attacker ser ett uppenbart mönster som jag kan använda för att separera en webbplatsspecifik del av lösenordet från den generiska lösenordsdelen, kommer jag definitivt att göra den delen av ett anpassat lösenord angreppskräddarsydd för dig.

Som exempel, säg att du har ett super säkert lösenord som 58htg% HF! C.För att använda detta lösenord på olika webbplatser lägger du till ett sajtspecifikt objekt i början, så att du har lösenord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satsa om jaghacka din facebook och få facebook58htg% HF! c Jag kommer att se det mönstret och använda det på andra webbplatser som jag tycker att du kan använda.

Allt kommer ner till mönster. Kommer angriparen att se ett mönster i den sajtspecifika delen och generiska delen av ditt lösenord?

Om du är orolig att din nuvarande lösenordslista inte är olik och slumpmässig nog, rekommenderar vi starkt att du läser vår omfattande säkerhetsguide för säkerhet: Hur återställs efter att ditt lösenord är kompromissat. Genom att omarbeta dina lösenordslistor som om moderen till alla lösenord, ditt e-postlösenord, har äventyras, är det enkelt att snabbt ta din lösenordsportfölj i snabb takt.

Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.