20Aug
Parolalarınızdan birine sahipseniz, bu otomatik olarak diğer şifrelerinizin de tehlikeye düştüğü anlamına mı geliyor? Oyunda epeyce değişken var olsa da, soru, bir şifreyi savunmasız yapan şeylere ve kendinizi korumak için neler yapabileceğinize ilginç bir görünümdür.
Bugünkü Soru &Yanıt oturumu bize, Q & A web sitelerinin topluluk tarafından işletilen bir gruplandırması olan Stack Exchange'in bir alt bölümü olan SuperUser sayesinde sağlanır.
Soru
SuperUser okuyucu Michael McGowan, tek bir şifre ihlalinin etkisine ne kadar eriştiğini merak ediyor;yazıyor:
Bir kullanıcı A sitesinde güvenli bir şifre kullanıyor ve B sitesinde farklı ama benzer bir güvenli parola kullanıyorlar. Belki de A sitesinde mySecure12 # PasswordA ve sitem B'de MySecure12 # PasswordB gibi bir şey( başka bir tanım tanımlamak için çekinmeyin"Benzerlik" mantıklıysa).
Öyleyse, A sitesi için şifrenin bir şekilde tehlikeye girdiğini. .. belki A sitesinde kötü amaçlı bir çalışan ya da güvenlik sızıntısı olduğunu varsayalım. Bu, B alanının parolasının da tehlikeye atıldığı anlamına mı geliyor yoksa bu bağlamda "şifre benzerliği" diye bir şey yok mu? A sitesinde uzlaşmanın sade bir metin sızıntısı mı yoksa karma bir sürüm olup olmadığını fark etmiyor mu?
Michael, varsayımsal durumu geçerse endişelenmeli mi?
Cevap
SuperUser katkıda bulunanlar, Michael için sorunun giderilmesini sağladı.Süper kullanıcı katkıcı Queso şöyle yazıyor:
İlk önce son bölümü cevaplamak için: Evet, ifşa edilen veriler cleartext vs. hashed olursa, fark yaratacaktı.Bir karma, tek bir karakteri değiştirirseniz, tüm karma tamamen farklıdır. Bir saldırganın şifreyi bilmesinin tek yolu, hash'ı kaba kuvvet etmektir( imkansız değil, özellikle de hash unsalted ise gökkuşağına bakınız).
Benzerlik sorusu kadar, saldırganın sizin hakkınızda bildiklerini bağlıdır. A sitesinde şifrenizi alabilirsem ve kullanıcı adları oluşturmak için belirli kalıpları kullandığını biliyorsam, kullandığınız sitelerdeki şifrelerle aynı sözleşmeleri deneyebilirim.
Alternatif olarak, yukarıda verdiğiniz parolalarda, bir saldırgan olarak, parolanın siteye özgü bir bölümünü genel şifre bölümünden ayırmak için kullanabileceğiniz açık bir model görürsem, kesinlikle bir özel şifre o bölümünüsize özel.
Örnek olarak, 58htg% HF! C gibi süper güvenli bir şifreniz olduğunu söyleyin! C.Bu şifreyi farklı sitelerde kullanmak için başlangıca site özellikli bir öğe ekleyin; böylece facebook58htg% HF! C, wellsfargo58htg% HF! C veya gmail58htg% HF! C gibi şifreleriniz varsa, eğer benfacebook'unuzu kesmek ve facebook58htg% HF olsun! c Bu deseni göreceğim ve kullanabileceğinizi düşündüğüm diğer sitelerde kullanacağım.
Her şey kalıplara indirgeniyor. Saldırgan, şifrenizin siteye özel bölümünde ve genel bölümünde bir düzen görür mi?
Başka bir Süper kullanıcı katkıda bulunan Michael Trausch, çoğu durumda varsayımsal durumun endişe nedeni olmadığını açıklar:
İlk önce son bölümü cevaplamak için: Evet, açıklanan veriler temiz metinle hashed olduğunda bir fark yaratır. Bir karma, tek bir karakteri değiştirirseniz, tüm karma tamamen farklıdır. Bir saldırganın şifreyi bilmesinin tek yolu, hash'ı kaba kuvvet etmektir( imkansız değil, özellikle de hash unsalted ise gökkuşağına bakınız).
Benzerlik sorusu kadar, saldırganın sizin hakkınızda bildiklerini bağlı olacaktır. A sitesinde şifrenizi alabilirsem ve kullanıcı adları oluşturmak için belirli kalıpları kullandığını biliyorsam, kullandığınız sitelerdeki şifrelerle aynı sözleşmeleri deneyebilirim.
Alternatif olarak, yukarıda verdiğiniz şifrelerde, bir saldırgan olarak, parolanın siteye özgü bir bölümünü genel şifre bölümünden ayırmak için kullanabileceğiniz bariz bir model görürsem, kesinlikle bu özel şifre saldırısı parçasını atacağım.size özel.
Örneğin, 58htg% HF! C gibi süper güvenli bir parolanız olduğunu söyleyin. Bu şifreyi farklı sitelerde kullanmak için başlangıca site özellikli bir öğe ekleyin; böylece facebook58htg% HF! C, wellsfargo58htg% HF! C veya gmail58htg% HF! C gibi şifreleriniz varsa, eğer benfacebook'unuzu kesmek ve facebook58htg% HF olsun! c Bu deseni göreceğim ve kullanabileceğinizi düşündüğüm diğer sitelerde kullanacağım.
Her şey kalıplara indirgeniyor. Saldırgan, şifrenizin siteye özel bölümünde ve genel bölümünde bir düzen görür mi?
Mevcut şifre listenizin çeşitli ve yeterince rasgele olmadığını düşünüyorsanız kapsamlı şifre güvenlik rehberimizi kontrol etmenizi öneririz: E-posta Parolanız Tehdedildiğinde Nasıl Kurtarılır.Şifre listelerinizi, tüm şifrelerin anısına, e-posta şifrenizin ele geçirildiği gibi yeniden düzenleyerek, şifre portföyünüzü hızlı bir şekilde hızla getirmeniz kolaylaşır.
Açıklamaya eklemek için bir şey var mı?Açıklamalarda ses çıkıyor. Diğer teknik uzman Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Buradaki tam tartışma dizinine göz atın.