Ak je jedno z mojich hesiel kompromitované, sú moje ostatné heslá kompromisné?
Ak je niektoré z vašich hesiel ohrozené, znamená to automaticky aj to, že vaše ostatné heslá sú tiež ohrozené? Zatiaľ čo v hre je pomerne málo premenných, otázkou je zaujímavý pohľad na to, čo robí zraniteľné heslo a čo môžete urobiť, aby ste sa ochránili.
Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.
Otázka
Čitateľ SuperUser Michael McGowan je zvedavý, ako ďaleko dosahuje dopad jedného porušenia hesla; on píše:
Predpokladajme, že používateľ používa zabezpečené heslo na lokalite A a iné podobné bezpečnostné heslo na lokalite B. Možno niečo podobné
mySecure12 # password
na mieste A amySecure12 # PasswordB
na mieste B (ak máte zmysel, použite inú definíciu "podobnosti").Predpokladajme teda, že heslo pre lokalitu A je nejako ohrozené ... možno zlomyseľným zamestnancom stránok A alebo bezpečnostnou netesnosťou. Znamená to, že heslo stránky B bolo tiež účinne ohrozené, alebo v tomto kontexte neexistuje žiadna podobnosť ako "heslo podobnosť"? Má nejaký rozdiel, či kompromis na webe A bol prostý text únik alebo hash verziu?
Mal by sa Michael obávať, či sa jeho hypotetická situácia stane?
Odpoveď
Používatelia služby SuperUser pomohli objasniť problém pre Michaela. Superuser prispievateľ Queso píše:
Najskôr odpovedať na poslednú časť: Áno, malo by to rozdiel, keby boli zverejnené údaje jasné a hášiace. V hash, ak zmeníte jeden znak, celý hash je úplne iný. Jediný spôsob, ako by útočník vedel, že heslo je brutálny silový hash (nie je nemožné, najmä ak je hash unsalted)..
Pokiaľ ide o otázku podobnosti, závisí to od toho, čo o vás útočník vie. Ak dostanem svoje heslo na stránkach A a ak viem, že používate určité vzorce na vytváranie mien používateľov alebo podobných, môžem vyskúšať rovnaké konvencie týkajúce sa hesiel na stránkach, ktoré používate.
Alternatívne, v heslách, ktoré uvádzate vyššie, ak ako útočník vidím zjavný vzor, ktorý môžem použiť na oddelenie špecifickej časti hesla od hesla generickej časti hesla, určite urobím tú časť útoku vlastného hesla na mieru na vás.
Napríklad, povedzme, že máte super bezpečné heslo ako 58htg% HF! C. Ak chcete použiť toto heslo na rôznych stránkach, pridajte na začiatok konkrétnu položku, aby ste mali heslá, ako napríklad: facebook58htg% HF! C, wellsfargo58htg% HF! C, alebo gmail58htg% HF! C, hack facebook a dostať facebook58htg% HF! C Budem vidieť, že vzor a používať ho na iných stránkach Zistil som, že môžete použiť.
Všetko sa deje na vzory. Zobrazí útočník vzor v porte špecifickej pre danú lokalitu a všeobecnú časť vášho hesla?
Ďalší autor Superuser Michael Trausch vysvetľuje, ako vo väčšine situácií nie je hypotetická situácia dôvodom na znepokojenie:
Najskôr odpovedať na poslednú časť: Áno, malo by to rozdiel, keby boli zverejnené údaje jasné a hášiace. V hash, ak zmeníte jeden znak, celý hash je úplne iný. Jediný spôsob, ako by útočník vedel, že heslo je brutálny silový hash (nie je nemožné, najmä ak je hash unsalted)..
Pokiaľ ide o otázku podobnosti, závisí to od toho, čo o vás útočník vie. Ak dostanem svoje heslo na stránkach A a ak viem, že používate určité vzorce na vytváranie mien používateľov alebo podobných, môžem vyskúšať rovnaké konvencie týkajúce sa hesiel na stránkach, ktoré používate.
Alternatívne, v heslách, ktoré uvádzate vyššie, ak ako útočník vidím zjavný vzor, ktorý môžem použiť na oddelenie špecifickej časti hesla od hesla generickej časti hesla, určite urobím tú časť útoku vlastného hesla na mieru na vás.
Napríklad, povedzme, že máte super bezpečné heslo ako 58htg% HF! C. Ak chcete použiť toto heslo na rôznych stránkach, pridajte na začiatok konkrétnu položku, aby ste mali heslá, ako napríklad: facebook58htg% HF! C, wellsfargo58htg% HF! C, alebo gmail58htg% HF! C, hack facebook a dostať facebook58htg% HF! C Budem vidieť, že vzor a používať ho na iných stránkach Zistil som, že môžete použiť.
Všetko sa deje na vzory. Zobrazí útočník vzor v porte špecifickej pre danú lokalitu a všeobecnú časť vášho hesla?
Ak máte obavy, že aktuálny zoznam hesiel nie je rôznorodý a dostatočne náhodný, dôrazne odporúčame skontrolovať našu komplexnú sprievodcu zabezpečením hesla: Ako obnoviť heslo po vašom e-mailu je kompromisné. Prepracovaním zoznamov hesiel, ako keby matka všetkých hesiel, vaše heslo pre e-mail, bolo ohrozené, je ľahké rýchlo priviesť svoje portfólio hesiel rýchlo.
Máte niečo doplniť vysvetlenie? Vyjadrite sa v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.