Если один из моих паролей скомпрометирован, мои личные пароли тоже скомпрометированы?

Оглавление:

Если один из моих паролей скомпрометирован, мои личные пароли тоже скомпрометированы?
Если один из моих паролей скомпрометирован, мои личные пароли тоже скомпрометированы?

Видео: Если один из моих паролей скомпрометирован, мои личные пароли тоже скомпрометированы?

Видео: Если один из моих паролей скомпрометирован, мои личные пароли тоже скомпрометированы?
Видео: Как пользоваться MyASUS? - YouTube 2024, Апрель
Anonim

Сегодняшняя сессия вопросов и ответов приходит к нам, любезно предоставленной SuperUser - подразделением Stack Exchange, группировкой сайтов Q & A на уровне сообщества.

Вопрос

Читателю SuperUser Майклу МакГоууну интересно, насколько далеко может повлиять одно нарушение пароля; он пишет:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

на сайте A и

mySecure12#PasswordB

на сайте B (не стесняйтесь использовать другое определение «подобия», если это имеет смысл).

Предположим, что пароль для сайта A каким-то образом скомпрометирован … может быть, вредоносный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был скомпрометирован, или нет такого понятия, как «подобие пароля» в этом контексте? Разве не имеет значения, является ли компромисс на сайте A простой утечкой или хешированной версией?

Должен ли Майкл беспокоиться, если произойдет его гипотетическая ситуация?

Ответ

Участники SuperUser помогли выяснить проблему для Майкла. Суперпользователь Queso пишет:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Другой спонсор Superuser, Майкл Трауш, объясняет, как в большинстве ситуаций гипотетическая ситуация не вызывает большого беспокойства:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Если вы обеспокоены тем, что текущий список паролей не является разным и достаточно случайным, мы настоятельно рекомендуем ознакомиться с нашим полным руководством по обеспечению безопасности паролей: как восстановить после того, как ваш пароль электронной почты был скомпрометирован. Переработав свои списки паролей, как будто у матери всех паролей, ваш пароль электронной почты был скомпрометирован, легко быстро довести портфель паролей до скорости.

Есть что добавить к объяснению? Звучит в комментариях. Хотите узнать больше ответов от других пользователей Windows? Посмотрите здесь полную дискуссионную тему.

Рекомендуемые:

Почему я могу записывать только 80 минут музыки на компакт-диск, если мои MP3-файлы занимают меньше 700 МБ пространства?

Почему я могу записывать только 80 минут музыки на компакт-диск, если мои MP3-файлы занимают меньше 700 МБ пространства?

При записи компакт-диска вы можете записать его как диск с данными или аудио компакт-диск. Компакт-диск данных может содержать до 700 МБ, а аудио CD может содержать 80 минут звука. Если у вас есть 200 МБ MP3-файлов, которые добавляют до трех часов музыки, вы все равно можете записать только 80 минут на диск. Это почему?

Как использовать Менеджер паролей Google для синхронизации паролей в любой точке

Как использовать Менеджер паролей Google для синхронизации паролей в любой точке

Знаете ли вы, что у Google есть собственный выделенный менеджер паролей? Это больше, чем просто синхронизация паролей, встроенная в браузер Chrome. Решение Google также предлагает веб-приложение, мобильные приложения, глубокую интеграцию с Android и автоматическое создание надежных паролей.

Восстановление паролей от почтовых клиентов: дешифратор паролей почты

Восстановление паролей от почтовых клиентов: дешифратор паролей почты

Загрузите Decryptor Mail Password. Он позволяет восстанавливать потерянные или забытые пароли из Windows Live Mail, Windows Credential Manager, Outlook, Express, Thunderbird и т. Д.

Паролирование паролей и как пароли паролей украдены

Паролирование паролей и как пароли паролей украдены

Пароль Spoofing - это общая стратегическая атака на фишинг, совершенная киберпреступниками, чтобы украсть ваши данные для входа. Проверьте, как можно избежать подмены паролей.

Sticky Password Free Review: защитите свои пароли и личные данные

Sticky Password Free Review: защитите свои пароли и личные данные

Загрузите Sticky Password, бесплатное приложение для управления паролями, которое позволяет хранить все пароли вашей учетной записи в Интернете, ваши личность и ваши личные заметки.