Сегодняшняя сессия вопросов и ответов приходит к нам, любезно предоставленной SuperUser - подразделением Stack Exchange, группировкой сайтов Q & A на уровне сообщества.
Вопрос
Читателю SuperUser Майклу МакГоууну интересно, насколько далеко может повлиять одно нарушение пароля; он пишет:
Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like
mySecure12#PasswordA
на сайте A и
mySecure12#PasswordB
на сайте B (не стесняйтесь использовать другое определение «подобия», если это имеет смысл).
Предположим, что пароль для сайта A каким-то образом скомпрометирован … может быть, вредоносный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был скомпрометирован, или нет такого понятия, как «подобие пароля» в этом контексте? Разве не имеет значения, является ли компромисс на сайте A простой утечкой или хешированной версией?
Должен ли Майкл беспокоиться, если произойдет его гипотетическая ситуация?
Ответ
Участники SuperUser помогли выяснить проблему для Майкла. Суперпользователь Queso пишет:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Другой спонсор Superuser, Майкл Трауш, объясняет, как в большинстве ситуаций гипотетическая ситуация не вызывает большого беспокойства:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Если вы обеспокоены тем, что текущий список паролей не является разным и достаточно случайным, мы настоятельно рекомендуем ознакомиться с нашим полным руководством по обеспечению безопасности паролей: как восстановить после того, как ваш пароль электронной почты был скомпрометирован. Переработав свои списки паролей, как будто у матери всех паролей, ваш пароль электронной почты был скомпрометирован, легко быстро довести портфель паролей до скорости.
Есть что добавить к объяснению? Звучит в комментариях. Хотите узнать больше ответов от других пользователей Windows? Посмотрите здесь полную дискуссионную тему.