Ако една от вашите пароли е компрометирана, това означава ли автоматично, че вашите други пароли също са компрометирани? Докато има доста променливи в игра, въпросът е интересен поглед към това, което прави паролата уязвима и какво можете да направите, за да се предпазите.
Днешната сесия за въпроси и отговори се отнася до нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяване на уеб сайтове с въпроси и отговори.
Reader на SuperUser Майкъл МакГоуън е любопитен с това колко далеч е достигането на въздействието на едно нарушение на паролата; той пише:
Да предположим, че потребител използва защитена парола на сайт А и различна, но сходна защитена парола на сайт В. Може би нещо подобно
mySecure12 # PasswordA
на площадка А иmySecure12 # PasswordB
на място Б (не се колебайте да използвате друго определение за "прилика", ако има смисъл).Да предположим, че паролата за сайт А е някак компрометирана ... може би злонамерен служител на сайт А или изтичане на сигурността. Означава ли това, че паролата за сайта Б е била ефективно компрометирана, или в този контекст няма такова нещо като "сходство с паролата"? Има ли значение дали компромисът на сайта А е пропуск на обикновен текст или хеширана версия?
Трябва ли Майкъл да се притеснява, ако се случи хипотетичното му положение?
Сътрудниците на SuperUser помогнаха да се изясни проблема за Майкъл. Големият сътрудник Queso пише:
Най-напред да отговорите на последната част: Да, би било от значение, ако данните, които се оповестяват, са ясно текст и хеш. В хеш, ако промените един знак, целият хеш е напълно различен. Единственият начин, по който атакуващият би разбрал паролата, е да насилва сила на хеш (не е невъзможно, особено ако хешът не е неразрешен.
Що се отнася до въпроса за сходството, това ще зависи от това, което нападателят знае за вас. Ако получа паролата си на сайт А и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да опитам същите конвенции за пароли на сайтовете, които използвате.
Като алтернатива, в паролите, които посочвате по-горе, ако аз като нападател виждам очевиден модел, който мога да използвам за отделяне на специфична за дадена част от паролата от генеричната част на паролата, определено ще направя тази част от персонализираната парола да е атакувана за теб.
Като пример, кажете, че имате супер сигурна парола като 58htg% HF! C. За да използвате тази парола на различни сайтове, в началото трябва да добавите конкретен за сайта елемент, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htht% HF! C или gmail58htg% HF! C, можете да заложите, ако hack your facebook и да facebook58htg% HF! C Ще видя този модел и да го използвате на други сайтове, които намирам, че можете да използвате.
Всичко се свежда до модели. Дали нападателят ще види шаблон в частта, която е специфична за сайта, и общата част от паролата ви?
Друг сътрудник на Superuser, Майкъл Труш, обяснява как в повечето ситуации хипотетичната ситуация не е много притеснителна:
Най-напред да отговорите на последната част: Да, би било от значение, ако данните, които се оповестяват, са ясно текст и хеш. В хеш, ако промените един знак, целият хеш е напълно различен. Единственият начин, по който атакуващият би разбрал паролата, е да насилва сила на хеш (не е невъзможно, особено ако хешът не е неразрешен.
Що се отнася до въпроса за сходството, това ще зависи от това, което нападателят знае за вас. Ако получа паролата си на сайт А и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да опитам същите конвенции за пароли на сайтовете, които използвате.
Като алтернатива, в паролите, които посочвате по-горе, ако аз като нападател виждам очевиден модел, който мога да използвам за отделяне на специфична за дадена част от паролата от генеричната част на паролата, определено ще направя тази част от персонализираната парола да е атакувана за теб.
Като пример, кажете, че имате супер сигурна парола като 58htg% HF! C. За да използвате тази парола на различни сайтове, в началото трябва да добавите конкретен за сайта елемент, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htht% HF! C или gmail58htg% HF! C, можете да заложите, ако hack your facebook и да facebook58htg% HF! C Ще видя този модел и да го използвате на други сайтове, които намирам, че можете да използвате.
Всичко се свежда до модели. Дали нападателят ще види шаблон в частта, която е специфична за сайта, и общата част от паролата ви?
Ако се притеснявате, че текущият списък с пароли не е разнообразен и достатъчно произволен, ние силно препоръчваме да проверите нашето изчерпателно ръководство за защита на паролите: Как да възстановите след вашата имейл парола е компрометирана. Чрез преработването на списъците с пароли, както ако майката на всички пароли, паролата ви за електронна поща е била компрометирана, лесно можете бързо да донесете портфолиото си за пароли на скорост.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.