Dacă unul din parolele mele este compromis, sunt și alte parolele mele compromise?
Dacă una dintre parolele dvs. este compromisă, înseamnă automat că celelalte parole sunt, de asemenea, compromise? În timp ce există destul de multe variabile la joc, întrebarea este o privire interesantă asupra a ceea ce face o parolă vulnerabilă și ce puteți face pentru a vă proteja.
Sesiunea de întrebări și răspunsuri din ziua de azi vine de la amabilitatea programului SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații pe site-uri web Q & A.
Intrebarea
Cititorul superutilizatorului Michael McGowan este curios cât de mult ajunge la impactul unei încălcări a unei singure parole; el scrie:
Să presupunem că un utilizator utilizează o parolă sigură la site-ul A și o parolă securizată diferită, dar similară, la site-ul B. Poate ceva de genul
mySecure12 # PasswordA
pe site - urile A șimySecure12 # PasswordB
pe site-ul B (nu ezitați să utilizați o altă definiție a "asemănării" dacă are sens).Să presupunem că parola site-ului A este compromisă într-un fel ... poate un angajat rău intenționat al site-ului A sau o scurgere de securitate. Acest lucru înseamnă că parola site-ului B a fost efectiv compromisă, sau nu există nici un fel de "asemănare cu parola" în acest context? Are importanță dacă compromisul de pe site-ul A a fost o scurgere de text simplu sau o versiune ruptă?
Michael ar trebui să-și facă griji dacă se va întâmpla situația ipotetică?
Răspunsul
Utilizatorii de SuperUser au ajutat la clarificarea problemei pentru Michael. Contribuabilul superuser Queso scrie:
Pentru a răspunde mai întâi la ultima parte: Da, ar face diferența în cazul în care datele dezvăluite au fost clar text versus hashed. Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash (nu este imposibilă, mai ales dacă hash-ul nu este salvat..
În ceea ce privește chestiunea similarității, ar depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele asemenea, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
În mod alternativ, în parolele pe care le dați mai sus, dacă, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică a parolei, voi face cu siguranță acea parte dintr-o parolă personalizată pentru tine.
De exemplu, spuneți că aveți o parolă super securizată ca 58htg% HF! C. Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, pentru a avea parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C, hack facebook și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți utiliza.
Totul coboară la tipare. Aplicatorul va vedea un model în porțiunea specifică site-ului și partea generică a parolei?
Un alt contribuabil al lui Superuser, Michael Trausch, explică cum în cele mai multe situații situația ipotetică nu este un motiv de îngrijorare:
Pentru a răspunde mai întâi la ultima parte: Da, ar face diferența în cazul în care datele dezvăluite au fost clar text versus hashed. Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash (nu este imposibilă, mai ales dacă hash-ul nu este salvat..
În ceea ce privește chestiunea similarității, ar depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele asemenea, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
În mod alternativ, în parolele pe care le dați mai sus, dacă, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică a parolei, voi face cu siguranță acea parte dintr-o parolă personalizată pentru tine.
De exemplu, spuneți că aveți o parolă super securizată ca 58htg% HF! C. Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, pentru a avea parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C, hack facebook și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți utiliza.
Totul coboară la tipare. Aplicatorul va vedea un model în porțiunea specifică site-ului și partea generică a parolei?
Dacă sunteți preocupat de faptul că lista dvs. curentă de parole nu este diversă și destul de aleatoră, vă recomandăm să verificați ghidul nostru complet de securitate a parolelor: Cum să recuperați după ce parola dvs. de e-mail este compromisă. Prin refacerea listelor de parole ca și cum mama tuturor parolelor, parola dvs. de e-mail, a fost compromisă, este ușor să vă aduceți rapid portofoliul de parole la viteză.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.