Ако една от моите пароли е компрометирана Моите други пароли също са компрометирани?

Съдържание:

Ако една от моите пароли е компрометирана Моите други пароли също са компрометирани?
Ако една от моите пароли е компрометирана Моите други пароли също са компрометирани?

Видео: Ако една от моите пароли е компрометирана Моите други пароли също са компрометирани?

Видео: Ако една от моите пароли е компрометирана Моите други пароли също са компрометирани?
Видео: Windows Live Mail einrichten - YouTube 2024, Април
Anonim

Днешната сесия за въпроси и отговори се отнася до нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяване на уеб сайтове с въпроси и отговори.

Въпроса

Reader на SuperUser Майкъл МакГоуън е любопитен с това колко далеч е достигането на въздействието на едно нарушение на паролата; той пише:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

на площадка А и

mySecure12#PasswordB

на място Б (не се колебайте да използвате друго определение за "прилика", ако има смисъл).

Да предположим, че паролата за сайт А е някак компрометирана … може би злонамерен служител на сайт А или изтичане на сигурността. Означава ли това, че паролата за сайта Б е била ефективно компрометирана, или в този контекст няма такова нещо като "сходство с паролата"? Има ли значение дали компромисът на сайта А е пропуск на обикновен текст или хеширана версия?

Трябва ли Майкъл да се притеснява, ако се случи хипотетичното му положение?

Отговорът

Сътрудниците на SuperUser помогнаха да се изясни проблема за Майкъл. Големият сътрудник Queso пише:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Друг сътрудник на Superuser, Майкъл Труш, обяснява как в повечето ситуации хипотетичната ситуация не е много притеснителна:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Ако се притеснявате, че текущият списък с пароли не е разнообразен и достатъчно произволен, ние силно препоръчваме да проверите нашето изчерпателно ръководство за защита на паролите: Как да възстановите след вашата имейл парола е компрометирана. Чрез преработването на списъците с пароли, както ако майката на всички пароли, паролата ви за електронна поща е била компрометирана, лесно можете бързо да донесете портфолиото си за пароли на скорост.

Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.

Препоръчано:

Защо мога да запиша само 80 минути музика на CD, ако моите MP3 файлове заемат по-малко от 700MB пространство?

Защо мога да запиша само 80 минути музика на CD, ако моите MP3 файлове заемат по-малко от 700MB пространство?

Когато записвате компактдиск, можете да го запишете като диск за данни или аудио компактдиск. Дискът за данни може да съдържа до 700 MB, докато аудио компактдискът може да поддържа 80 минути звук. Ако имате 200 MB MP3 файлове, които добавят до три часа музика, можете все още да записвате само 80 минути на диска. Защо така?

Как убеждавате член на семейството да надстрои една стара (и вероятно компрометирана) система?

Как убеждавате член на семейството да надстрои една стара (и вероятно компрометирана) система?

Тази седмица се появи датата на влизане на EOL на Windows XP, но много от тях се придържат към нея, а понякога дори още по-стари системи. Как убеждавате упорит член на семейството, че актуализирането на неподдържаната от него система до по-нова, по-сигурна е в техен най-добър интерес?

Как да възстановите след вашата имейл парола е компрометирана

Как да възстановите след вашата имейл парола е компрометирана

Приятелите ви съобщават за спам и правни основания за пари, идващи от вашия имейл акаунт и някои от вашите входни данни не работят; Вие сте били компрометирани. Прочетете нататък, за да видите какво да правите сега и как да се предпазите в бъдеще.

Опростени уебсайтове: Докладът хроники уебмастъри се бори със своите компрометирани уеб сайтове

Опростени уебсайтове: Докладът хроники уебмастъри се бори със своите компрометирани уеб сайтове

Докладът разказва как собствениците на сайтове навигират в процеса на изучаване на сайтовете си, са били опровергани и поправяха щетите и представя интересна статистика по този въпрос.

Скенерът "Интернет на нещата" проверява дали устройствата за интернет устройства са компрометирани

Скенерът "Интернет на нещата" проверява дали устройствата за интернет устройства са компрометирани

Bullguard Internet of Skins няма да провери дали устройствата за интернет са компрометирани и дали са публични и са били индексирани от търсачката Shodan.