If-Koubou

Ako je jedna od mojih zaporki kompromitirana Jesu li moje druge zaporke previše kompromisirane?

Ako je jedna od mojih zaporki kompromitirana Jesu li moje druge zaporke previše kompromisirane? (Kako da)

Ako je jedna od vaših zaporki ugrožena, znači li to automatski znači da su i vaše druge lozinke ugrožene? Iako postoji dosta varijabli na igri, pitanje je zanimljiv pogled na ono što lozinku čini ranjivim i što možete učiniti kako biste zaštitili sebe.

Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajedničkom pogonu Q & A web stranica.

Pitanje

SuperUser čitač Michael McGowan je znatiželjan koliko dalekosežan utjecaj jednog lozinke povrede je, piše:

Pretpostavimo da korisnik upotrebljava sigurnu lozinku na web-lokaciji A i drugu, ali sličnu sigurnu lozinku na web-lokaciji B. Možda nešto sličnomySecure12 # PasswordA na stranicama A imySecure12 # PasswordB na mjestu B (slobodno upotrijebite drugu definiciju "sličnosti" ako ima smisla).

Pretpostavimo da je lozinka za web lokaciju A na neki način ugrožena ... možda zlonamjerni zaposlenik stranice A ili sigurnosni propust. Znači li to da je lozinka stranice B učinkovito ugrožena, ili u takvom kontekstu nema takve "lozinke sličnosti"? Je li bilo kakvih razlika je li kompromis na web-lokaciji A bio isprekidani tekst ili iskrivljena verzija?

Je li Michael trebao brinuti ako mu se dogodi hipotetska situacija?

Odgovor

SuperUser suradnici pomogli su razjasniti pitanje Michaela. Super pomoćnik suradnik Queso piše:

Najprije odgovoriti na zadnji dio: Da, bilo bi odlično ako su otkriveni podaci bili jasni tekstovi nasuprot raspršenom. U hash, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji napadač bi znao lozinku jest da siloviti silu (nije nemoguće, osobito ako je hash neslan, vidi tablice duga).

Što se tiče sličnosti, to bi ovisilo o onome što napadač zna o vama. Ako dobijem vašu zaporku na web-lokaciji A i ako znam da upotrebljavate određene obrasce za izradu korisničkog imena ili takvih, mogu pokušati ista konvencija o zaporkama na web-lokacijama koje upotrebljavate.

Ili, u lozinkama koje dajete gore, ako ja kao napadač vidim očigledan uzorak koji mogu koristiti za odvajanje dijela lozinke za određenu web lokaciju iz dijela opće lozinke, svakako ću napraviti taj dio prilagođenog lozinke napada prilagođen tebi.

Kao primjer, recimo da imate super sigurnu zaporku poput 58htg% HF! C. Da biste upotrijebili ovu lozinku na različitim web-lokacijama, dodajte stavku specifičnu za web mjesto na početak, tako da imate zaporke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako ja hack svoj facebook i dobiti facebook58htg% HF! c Ja ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.

Sve se svodi na uzorke. Hoće li napadač vidjeti obrazac u dijelu koji se odnosi na web lokaciju i generički dio vaše zaporke?

Drugi suradnik Superusera, Michael Trausch, objašnjava kako u većini situacija hipotetska situacija nije mnogo razloga za zabrinutost:

Najprije odgovoriti na zadnji dio: Da, bilo bi odlično ako su otkriveni podaci bili jasni tekstovi nasuprot raspršenom. U hash, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji napadač bi znao lozinku jest da siloviti silu (nije nemoguće, osobito ako je hash neslan, vidi tablice duga).

Što se tiče sličnosti, to bi ovisilo o onome što napadač zna o vama. Ako dobijem vašu zaporku na web-lokaciji A i ako znam da upotrebljavate određene obrasce za izradu korisničkog imena ili takvih, mogu pokušati ista konvencija o zaporkama na web-lokacijama koje upotrebljavate.

Ili, u lozinkama koje dajete gore, ako ja kao napadač vidim očigledan uzorak koji mogu koristiti za odvajanje dijela lozinke za određenu web lokaciju iz dijela opće lozinke, svakako ću napraviti taj dio prilagođenog lozinke napada prilagođen tebi.

Kao primjer, recimo da imate super sigurnu zaporku poput 58htg% HF! C. Da biste upotrijebili ovu lozinku na različitim web-lokacijama, dodajte stavku specifičnu za web mjesto na početak, tako da imate zaporke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako ja hack svoj facebook i dobiti facebook58htg% HF! c Ja ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.

Sve se svodi na uzorke. Hoće li napadač vidjeti obrazac u dijelu koji se odnosi na web lokaciju i generički dio vaše zaporke?

Ako ste zabrinuti da trenutni popis zaporki nije raznolik i dovoljno velik, preporučujemo da pogledate naš opsežan sigurnosni vodič za lozinku: Kako se vratiti nakon što je zaporka vaše e-pošte kompromitirana. Obradom popisa lozinke kao da je majka svih lozinki, vaša e-mail lozinka, ugrožena, lako je brzo prenesiti portfelj lozinke do brzine.

Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.