Днешната сесия за въпроси и отговори се отнася до нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяване на уеб сайтове с въпроси и отговори.
Въпроса
Reader на SuperUser Майкъл МакГоуън е любопитен с това колко далеч е достигането на въздействието на едно нарушение на паролата; той пише:
Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like
mySecure12#PasswordA
на площадка А и
mySecure12#PasswordB
на място Б (не се колебайте да използвате друго определение за "прилика", ако има смисъл).
Да предположим, че паролата за сайт А е някак компрометирана … може би злонамерен служител на сайт А или изтичане на сигурността. Означава ли това, че паролата за сайта Б е била ефективно компрометирана, или в този контекст няма такова нещо като "сходство с паролата"? Има ли значение дали компромисът на сайта А е пропуск на обикновен текст или хеширана версия?
Трябва ли Майкъл да се притеснява, ако се случи хипотетичното му положение?
Отговорът
Сътрудниците на SuperUser помогнаха да се изясни проблема за Майкъл. Големият сътрудник Queso пише:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Друг сътрудник на Superuser, Майкъл Труш, обяснява как в повечето ситуации хипотетичната ситуация не е много притеснителна:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Ако се притеснявате, че текущият списък с пароли не е разнообразен и достатъчно произволен, ние силно препоръчваме да проверите нашето изчерпателно ръководство за защита на паролите: Как да възстановите след вашата имейл парола е компрометирана. Чрез преработването на списъците с пароли, както ако майката на всички пароли, паролата ви за електронна поща е била компрометирана, лесно можете бързо да донесете портфолиото си за пароли на скорост.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.