Головна » як » Якщо один з моїх паролів скомпрометований, то інші мої паролі також порушені?

    Якщо один з моїх паролів скомпрометований, то інші мої паролі також порушені?

    Якщо одна з паролів скомпрометована, це автоматично означає, що ваші інші паролі також порушені? Хоча існує досить багато змінних під час гри, це цікавий погляд на те, що робить пароль вразливим і що ви можете зробити, щоб захистити себе.

    Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно від SuperUser - підрозділу Stack Exchange, групування спільноти веб-сайтів з запитань та відповідей.

    Питання

    Читач SuperUser Майкл МакГоуен цікавий, наскільки далеко досягають наслідки одного порушення пароля; він пише:

    Припустимо, що користувач використовує безпечний пароль на сайті А і інший, але схожий безпечний пароль на сайті Б. Можливо, щось подібне mySecure12 # PasswordA на місці А і mySecure12 # PasswordB на сайті B (користуйтеся іншим визначенням "подібності", якщо це має сенс).

    Припустимо, що пароль для сайту А якось скомпрометований… може бути зловмисник співробітника сайту А або витік безпеки. Чи означає це, що пароль B сайту також був скомпрометований, або немає такого поняття, як "подібність паролів" у цьому контексті? Чи є різниця в тому, чи був компроміс на сайті А витік у простому тексті або хеширована версія?

    Чи повинен Майкл хвилюватися, якщо його гіпотетична ситуація настане?

    Відповідь

    Співробітники SuperUser допомогли з'ясувати проблему для Майкла. Співробітник суперкористувача Queso пише:

    Щоб відповісти на останню частину: Так, це зробило б різницю, якщо б дані, що розкриваються, були чистими чи хешированними. У хеші, якщо ви зміните один символ, весь хеш буде зовсім іншим. Єдиний спосіб, коли зловмисник буде знати, що пароль полягає в грубому застосуванні хешу (неможливо, особливо якщо хеш несоленим. Див. Таблиці веселки).

    Що стосується питання про подібність, це буде залежати від того, що зловмисник знає про вас. Якщо я отримаю ваш пароль на сайті А, і якщо я знаю, що ви використовуєте певні шаблони для створення імен користувачів або такі, я можу спробувати ті ж самі правила щодо паролів на сайтах, які ви використовуєте.

    Крім того, у паролях, наданих вище, якщо я, як зловмисник, бачу очевидний зразок, який я можу використовувати для розділення певної частини пароля на частину сайту від загальної частини пароля, я безумовно змушу, щоб ця частина користувацької атаки паролем була спеціально розроблена тобі.

    Як приклад, скажімо, у вас є супер безпечний пароль, як 58htg% HF! C. Щоб скористатися цим паролем на різних сайтах, ви додаєте на сайт певний елемент, щоб мати паролі: facebook58htg% HF! C, wellsfargo58htg% HF! C або gmail58htg% HF! C, ви можете зробити ставку, якщо зламати ваш facebook і отримати facebook58htg% HF! c я збираюся побачити цю модель і використовувати її на інших сайтах я вважаю, що ви можете використовувати.

    Все зводиться до моделей. Чи зловмисник побачить зразок у частині сайту та загальній частині вашого пароля?

    Інший учасник Superuser, Майкл Траус, пояснює, як у більшості ситуацій гіпотетична ситуація не викликає великих проблем:

    Щоб відповісти на останню частину: Так, це зробило б різницю, якщо б дані, що розкриваються, були чистими чи хешированними. У хеші, якщо ви зміните один символ, весь хеш буде зовсім іншим. Єдиний спосіб, коли зловмисник буде знати, що пароль полягає в грубому застосуванні хешу (неможливо, особливо якщо хеш несоленим. Див. Таблиці веселки).

    Що стосується питання про подібність, це буде залежати від того, що зловмисник знає про вас. Якщо я отримаю ваш пароль на сайті А, і якщо я знаю, що ви використовуєте певні шаблони для створення імен користувачів або такі, я можу спробувати ті ж самі правила щодо паролів на сайтах, які ви використовуєте.

    Крім того, у паролях, наданих вище, якщо я, як зловмисник, бачу очевидний зразок, який я можу використовувати для розділення певної частини пароля на частину сайту від загальної частини пароля, я безумовно змушу, щоб ця частина користувацької атаки паролем була спеціально розроблена тобі.

    Як приклад, скажімо, у вас є супер безпечний пароль, як 58htg% HF! C. Щоб скористатися цим паролем на різних сайтах, ви додаєте на сайт певний елемент, щоб мати паролі: facebook58htg% HF! C, wellsfargo58htg% HF! C або gmail58htg% HF! C, ви можете зробити ставку, якщо зламати ваш facebook і отримати facebook58htg% HF! c я збираюся побачити цю модель і використовувати її на інших сайтах я вважаю, що ви можете використовувати.

    Все зводиться до моделей. Чи зловмисник побачить зразок у частині сайту та загальній частині вашого пароля?

    Якщо ви стурбовані тим, що ваш поточний список паролів не є різноманітним і достатньо випадковим, ми настійно рекомендуємо ознайомитися з нашим всеохоплюючим керівництвом з безпеки паролів: Як відновити свій пароль після порушення пароля. Переробку списків паролів, як якщо б мама всіх паролів, ваш пароль електронної пошти, був скомпрометований, то легко швидко довести свій портфель паролів до швидкості.


    Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.