Dacă una dintre parolele dvs. este compromisă, înseamnă automat că celelalte parole sunt, de asemenea, compromise? În timp ce există destul de multe variabile la joc, întrebarea este o privire interesantă asupra a ceea ce face o parolă vulnerabilă și ce puteți face pentru a vă proteja.
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea programului SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații pe site-uri cu întrebări și răspunsuri.
Cititorul superutilizatorului Michael McGowan este curios cât de departe este impactul unei încălcări a unei singure parole; el scrie:
Să presupunem că un utilizator utilizează o parolă sigură la site-ul A și o parolă securizată diferită, dar similară, la site-ul B. Poate ceva de genul
mySecure12 # PasswordA
pe site - ul A șimySecure12 # PasswordB
pe site-ul B (nu ezitați să utilizați o altă definiție a "asemănării" dacă are sens).Să presupunem că parola pentru site-ul A este compromisă într-un fel ... poate un angajat rău intenționat al site-ului A sau o scurgere de securitate. Acest lucru înseamnă că parola site-ului B a fost efectiv compromisă, sau nu există nici un fel de "similaritate de parolă" în acest context? Are vreo diferență dacă compromisul de pe site-ul A a fost o scurgere de text simplu sau o versiune ruptă?
Ar trebui Michael să-și facă griji dacă se va întâmpla situația ipotetică?
Contribuitorii de la SuperUser au ajutat la clarificarea problemei pentru Michael. Contribuabilul superuser Queso scrie:
Pentru a răspunde mai întâi la ultima parte: Da, ar fi o diferență dacă datele dezvăluite ar fi fost clar text versus hashed. Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash (nu este imposibil, mai ales dacă hash-ul nu este salvat.
În ceea ce privește chestiunea similarității, ar depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
În mod alternativ, în parolele pe care le dați mai sus, în cazul în care, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică a parolei, voi face cu siguranță acea parte dintr-o parolă personalizată pentru tine.
De exemplu, spuneți că aveți o parolă super-sigură, cum ar fi 58htg% HF! C. Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, pentru a avea parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C, puteți paria dacă hack facebook dvs. și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți folosi.
Totul coboară la tipare. Va apărea atacatorul un model în porțiunea specifică site-ului și o porțiune generică a parolei?
Un alt contribuabil al Superuserului, Michael Trausch, explică modul în care, în cele mai multe situații, situația ipotetică nu este un motiv de îngrijorare:
Pentru a răspunde mai întâi la ultima parte: Da, ar fi o diferență dacă datele dezvăluite ar fi fost clar text versus hashed. Într-un hash, dacă schimbați un singur caracter, întregul hash este complet diferit. Singurul mod în care un atacator ar ști că parola este de a forța forța hash (nu este imposibil, mai ales dacă hash-ul nu este salvat.
În ceea ce privește chestiunea similarității, ar depinde de ceea ce știe atacatorul despre tine. Dacă îmi dau parola pe site-ul A și dacă știu că folosiți anumite modele pentru a crea nume de utilizator sau altele, pot încerca aceleași convenții pe parole pe site-urile pe care le utilizați.
În mod alternativ, în parolele pe care le dați mai sus, în cazul în care, în calitate de atacator, văd un model evident pe care îl pot folosi pentru a separa o porțiune specifică de parolă de parola generică a parolei, voi face cu siguranță acea parte dintr-o parolă personalizată pentru tine.
De exemplu, spuneți că aveți o parolă super-sigură, cum ar fi 58htg% HF! C. Pentru a utiliza această parolă pe site-uri diferite, adăugați un element specific site-ului la început, pentru a avea parole precum: facebook58htg% HF! C, wellsfargo58htg% HF! C sau gmail58htg% HF! C, puteți paria dacă hack facebook dvs. și a lua facebook58htg% HF! C Voi vedea acest model și să-l utilizați pe alte site-uri mi se pare că puteți folosi.
Totul coboară la tipare. Va apărea atacatorul un model în porțiunea specifică site-ului și o porțiune generică a parolei?
Dacă sunteți preocupat de faptul că lista de parole actuală nu este destul de diversă și aleatoare, vă recomandăm să verificați ghidul nostru de securitate pentru parole: Cum să vă recuperați după ce parola dvs. de e-mail este compromisă. Prin refacerea listelor de parole ca și cum mama tuturor parolelor, parola dvs. de e-mail, a fost compromisă, este ușor să vă aduceți rapid portofoliul de parole la viteză.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.