Jeśli zaszkodzi jedno z moich haseł, czy moje inne hasła są zbyt kompromitowane?
Jeśli złamane zostanie jedno z haseł, czy to automatycznie oznacza, że inne hasła są również zagrożone? Chociaż w grze jest sporo zmiennych, pytanie brzmi interesująco, co sprawia, że hasło jest podatne na zagrożenia i co możesz zrobić, aby chronić siebie.
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - podsekcji Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.
Pytanie
Czytelnik SuperUser Michael McGowan jest ciekawy, jak daleko sięgają skutki pojedynczego naruszenia hasła; on pisze:
Załóżmy, że użytkownik używa bezpiecznego hasła na stronie A i innego, ale podobnego bezpiecznego hasła w witrynie B. Może coś w stylu
mySecure12 # HasłoA
na miejscu A imySecure12 # HasłoB
na stronie B (możesz użyć innej definicji "podobieństwa", jeśli ma to sens).Załóżmy, że hasło do strony A zostało w jakiś sposób naruszone ... może złośliwy pracownik witryny A lub wyciek bezpieczeństwa. Czy to oznacza, że hasło witryny B również zostało naruszone, czy też nie ma czegoś takiego jak "podobieństwo hasła" w tym kontekście? Czy ma to wpływ na to, czy kompromis na stronie A był wyciekiem zwykłym tekstem, czy też mieszaną wersją?
Czy Michael powinien się martwić, jeśli spełni się jego hipotetyczna sytuacja?
Odpowiedź
Współautorzy SuperUser pomogli wyjaśnić sprawę Michaelowi. Kontrybutor superużytkowników Queso pisze:
Aby odpowiedzieć na ostatnią część jako pierwszą: Tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashed. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza (nie jest to niemożliwe, zwłaszcza jeśli skrót jest niesolny)..
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Ewentualnie w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od określonej strony, od ogólnej części hasła, na pewno zrobię tę część niestandardowego ataku hasłem dostosowanego do Ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli ja zhakuj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których mogę skorzystać.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Inny uczestnik projektu Superuser, Michael Trausch, wyjaśnia, jak w większości sytuacji hipotetyczna sytuacja nie jest powodem do niepokoju:
Aby odpowiedzieć na ostatnią część jako pierwszą: Tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashed. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza (nie jest to niemożliwe, zwłaszcza jeśli skrót jest niesolny)..
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Ewentualnie w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od określonej strony, od ogólnej części hasła, na pewno zrobię tę część niestandardowego ataku hasłem dostosowanego do Ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli ja zhakuj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których mogę skorzystać.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Jeśli obawiasz się, że aktualna lista haseł nie jest zróżnicowana i przypadkowa, zdecydowanie zalecamy zapoznanie się z naszym obszernym przewodnikiem bezpieczeństwa haseł: Jak odzyskać dane po tym, jak Twoje hasło do e-maila zostanie zaszkodzone. Zmieniając listy haseł tak, jakby złamane zostały wszystkie hasła, hasło do poczty e-mail, można szybko przyspieszyć wprowadzanie portfolio haseł.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.