Начална » как да » Ако една от моите пароли е компрометирана и другите ми пароли са компрометирани?

    Ако една от моите пароли е компрометирана и другите ми пароли са компрометирани?

    Ако една от паролите ви е компрометирана, това означава ли автоматично, че другите ви пароли също са компрометирани? Макар че има много променливи в играта, въпросът е интересен поглед към това, което прави паролата уязвима и какво можете да направите, за да се защитите.

    Днешната сесия на въпросите и отговорите идва с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяващо групи от уебсайтове с въпроси и отговори.

    Въпроса

    Читателят на суперпотребителя Майкъл МакГоуан е любопитен колко далеч се постига въздействието на едно нарушение на паролата; той пише:

    Да предположим, че потребителят използва сигурна парола в сайт А и различна, но подобна сигурна парола на място Б. Може би нещо подобно mySecure12 # PasswordA на място А и mySecure12 # PasswordB на сайт Б (не се колебайте да използвате различна дефиниция на „прилика“, ако има смисъл).

    Да предположим, че паролата за сайт А е някак си компрометирана… може би злонамерен служител на сайт А или изтичане на сигурността. Това означава ли, че паролата на сайта Б също е била компрометирана, или няма такова нещо като „подобие на пароли“ в този контекст? Има ли някакво значение дали компромисът на място А е изтичане в обикновен текст или хеширана версия?

    Трябва ли Майкъл да се тревожи, ако хипотетичната му ситуация се случи?

    Отговорът

    Сътрудниците на SuperUser помогнаха за изясняване на проблема за Майкъл. Сътрудникът на суперпотребителя Queso пише:

    За да отговорите първо на последната част: Да, това би имало значение, ако разкритите данни бяха чисти срещу хеширани. В хеш, ако промените един символ, целият хеш е напълно различен. Единственият начин, по който атакуващият да знае паролата, е да използва грубата сила (не е невъзможно, особено ако хешът е ненасочен)..

    Що се отнася до въпроса за подобието, това ще зависи от това, което нападателят знае за вас. Ако получа паролата ви на сайта А и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да изпробвам същите тези правила за паролите на сайтовете, които използвате.

    Алтернативно, в паролите, които давате по-горе, ако аз като хакер виждам очевиден модел, който мога да използвам, за да отделя част от паролата за част от паролата от общата част на паролата, определено ще направя тази част от атаката с персонализирана парола съобразена за теб.

    Например, кажете, че имате супер сигурна парола, като например 58htg% HF! C. За да използвате тази парола на различни сайтове, добавяте в началото конкретен елемент, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, можете да заложите, ако хаквам вашия facebook и да получите facebook58htg% HF! c Отивам да видя този модел и да го използвам на други сайтове, които смятам, че можете да използвате.

    Всичко се свежда до модели. Дали нападателят ще види шаблон в частта, специфична за сайта, и общата част от паролата ви?

    Друг сътрудник на суперпотребителя Майкъл Траус обяснява как в повечето случаи хипотетичната ситуация не е причина за безпокойство:

    За да отговорите първо на последната част: Да, това би имало значение, ако разкритите данни бяха чисти срещу хеширани. В хеш, ако промените един символ, целият хеш е напълно различен. Единственият начин, по който атакуващият да знае паролата, е да използва грубата сила (не е невъзможно, особено ако хешът е ненасочен)..

    Що се отнася до въпроса за подобието, това ще зависи от това, което нападателят знае за вас. Ако получа паролата ви на сайта А и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да изпробвам същите тези правила за паролите на сайтовете, които използвате.

    Алтернативно, в паролите, които давате по-горе, ако аз като хакер виждам очевиден модел, който мога да използвам, за да отделя част от паролата за част от паролата от общата част на паролата, определено ще направя тази част от атаката с персонализирана парола съобразена за теб.

    Например, кажете, че имате супер сигурна парола, като например 58htg% HF! C. За да използвате тази парола на различни сайтове, добавяте в началото конкретен елемент, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, можете да заложите, ако хаквам вашия facebook и да получите facebook58htg% HF! c Отивам да видя този модел и да го използвам на други сайтове, които смятам, че можете да използвате.

    Всичко се свежда до модели. Дали нападателят ще види шаблон в частта, специфична за сайта, и общата част от паролата ви?

    Ако сте загрижени, че сегашният ви списък с пароли не е разнообразен и достатъчно случаен, ние силно препоръчваме да проверите нашето цялостно ръководство за защита на паролите: Как да се възстановим, след като паролата ви е нарушена. Чрез преработване на списъците с пароли, сякаш майката на всички пароли, паролата ви за електронна поща, е компрометирана, лесно можете бързо да превърнете паролата си.


    Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.