Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?

Turinys:

Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?
Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?

Video: Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?

Video: Jei vienas iš mano slaptažodžių kyla pavojus, ar mano kiti slaptažodžiai taip pat pažeisti?
Video: Windows Live Movie Maker - Export to Skydrive - YouTube 2024, Kovas
Anonim

Šiandieninė klausimų ir atsakymų sesija ateina pas mus "SuperUser" - "Stack Exchange", "Q &A" interneto svetainių grupių bendruomenės, padalinys.

Klausimas

"SuperUser" skaitytojas Michaelas McGowan'as įdomu, kiek pasiekė vieno slaptažodžio pažeidimo poveikį; jis rašo:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

svetainėje A ir

mySecure12#PasswordB

vietoje B (nesvarbu, ar tai būtų prasminga) naudoti kitokį "panašumo" apibrėžimą.

Tarkime, kad svetainės A slaptažodis yra šiek tiek pažeistas … galbūt kenkėjiškas svetainės A darbuotojas arba saugumo nutekėjimas. Ar tai reiškia, kad svetainės B slaptažodis taip pat buvo pažeistas, ar šiuo atveju tokio dalyko kaip "slaptažodžio panašumas" nėra? Ar įtakoja, ar kompromisas svetainėje A buvo paprasto teksto nuotėkio ar maišytos versijos?

Ar Michael turėtų nerimauti, jei jo hipotetinė situacija įvyks?

Atsakymas

"SuperUser" autoriai padėjo išaiškinti Michael problemą. "Superuser" autorius Queso rašo:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Kitas "Superuser" autorius Michael Trausch paaiškina, kaip daugeliu atvejų hipotetinė situacija nėra daug priežasčių nerimauti.

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Jei esate susirūpinę, kad esamas slaptažodžių sąrašas nėra įvairesnis ir pakankamai atsitiktinis, mes labai rekomenduojame patikrinti išsamią slaptažodžio saugos vadovą: kaip atkurti po to, kai jūsų el. Pašto slaptažodis yra pažeistas. Perdirbę savo slaptažodžių sąrašus, kaip ir visų slaptažodžių motina, jūsų el. Pašto slaptažodis buvo pažeistas, lengvai paspartinti slaptažodžių portfelio greitį.

Ar turite ką nors įtraukti į paaiškinimą? Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų? Patikrinkite visą diskusijų temą čia.

Rekomenduojamas: