Якщо один з моїх паролів скомпрометований, то інші мої паролі також порушені?
Якщо одна з паролів скомпрометована, це автоматично означає, що ваші інші паролі також порушені? Хоча існує досить багато змінних під час гри, це цікавий погляд на те, що робить пароль вразливим і що ви можете зробити, щоб захистити себе.
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно від SuperUser - підрозділу Stack Exchange, групування спільноти веб-сайтів з запитань та відповідей.
Питання
Читач SuperUser Майкл МакГоуен цікавий, наскільки далеко досягають наслідки одного порушення пароля; він пише:
Припустимо, що користувач використовує безпечний пароль на сайті А і інший, але схожий безпечний пароль на сайті Б. Можливо, щось подібне
mySecure12 # PasswordAна місці А іmySecure12 # PasswordBна сайті B (користуйтеся іншим визначенням "подібності", якщо це має сенс).Припустимо, що пароль для сайту А якось скомпрометований… може бути зловмисник співробітника сайту А або витік безпеки. Чи означає це, що пароль B сайту також був скомпрометований, або немає такого поняття, як "подібність паролів" у цьому контексті? Чи є різниця в тому, чи був компроміс на сайті А витік у простому тексті або хеширована версія?
Чи повинен Майкл хвилюватися, якщо його гіпотетична ситуація настане?
Відповідь
Співробітники SuperUser допомогли з'ясувати проблему для Майкла. Співробітник суперкористувача Queso пише:
Щоб відповісти на останню частину: Так, це зробило б різницю, якщо б дані, що розкриваються, були чистими чи хешированними. У хеші, якщо ви зміните один символ, весь хеш буде зовсім іншим. Єдиний спосіб, коли зловмисник буде знати, що пароль полягає в грубому застосуванні хешу (неможливо, особливо якщо хеш несоленим. Див. Таблиці веселки).
Що стосується питання про подібність, це буде залежати від того, що зловмисник знає про вас. Якщо я отримаю ваш пароль на сайті А, і якщо я знаю, що ви використовуєте певні шаблони для створення імен користувачів або такі, я можу спробувати ті ж самі правила щодо паролів на сайтах, які ви використовуєте.
Крім того, у паролях, наданих вище, якщо я, як зловмисник, бачу очевидний зразок, який я можу використовувати для розділення певної частини пароля на частину сайту від загальної частини пароля, я безумовно змушу, щоб ця частина користувацької атаки паролем була спеціально розроблена тобі.
Як приклад, скажімо, у вас є супер безпечний пароль, як 58htg% HF! C. Щоб скористатися цим паролем на різних сайтах, ви додаєте на сайт певний елемент, щоб мати паролі: facebook58htg% HF! C, wellsfargo58htg% HF! C або gmail58htg% HF! C, ви можете зробити ставку, якщо зламати ваш facebook і отримати facebook58htg% HF! c я збираюся побачити цю модель і використовувати її на інших сайтах я вважаю, що ви можете використовувати.
Все зводиться до моделей. Чи зловмисник побачить зразок у частині сайту та загальній частині вашого пароля?
Інший учасник Superuser, Майкл Траус, пояснює, як у більшості ситуацій гіпотетична ситуація не викликає великих проблем:
Щоб відповісти на останню частину: Так, це зробило б різницю, якщо б дані, що розкриваються, були чистими чи хешированними. У хеші, якщо ви зміните один символ, весь хеш буде зовсім іншим. Єдиний спосіб, коли зловмисник буде знати, що пароль полягає в грубому застосуванні хешу (неможливо, особливо якщо хеш несоленим. Див. Таблиці веселки).
Що стосується питання про подібність, це буде залежати від того, що зловмисник знає про вас. Якщо я отримаю ваш пароль на сайті А, і якщо я знаю, що ви використовуєте певні шаблони для створення імен користувачів або такі, я можу спробувати ті ж самі правила щодо паролів на сайтах, які ви використовуєте.
Крім того, у паролях, наданих вище, якщо я, як зловмисник, бачу очевидний зразок, який я можу використовувати для розділення певної частини пароля на частину сайту від загальної частини пароля, я безумовно змушу, щоб ця частина користувацької атаки паролем була спеціально розроблена тобі.
Як приклад, скажімо, у вас є супер безпечний пароль, як 58htg% HF! C. Щоб скористатися цим паролем на різних сайтах, ви додаєте на сайт певний елемент, щоб мати паролі: facebook58htg% HF! C, wellsfargo58htg% HF! C або gmail58htg% HF! C, ви можете зробити ставку, якщо зламати ваш facebook і отримати facebook58htg% HF! c я збираюся побачити цю модель і використовувати її на інших сайтах я вважаю, що ви можете використовувати.
Все зводиться до моделей. Чи зловмисник побачить зразок у частині сайту та загальній частині вашого пароля?
Якщо ви стурбовані тим, що ваш поточний список паролів не є різноманітним і достатньо випадковим, ми настійно рекомендуємо ознайомитися з нашим всеохоплюючим керівництвом з безпеки паролів: Як відновити свій пароль після порушення пароля. Переробку списків паролів, як якщо б мама всіх паролів, ваш пароль електронної пошти, був скомпрометований, то легко швидко довести свій портфель паролів до швидкості.
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.
