Skip to main content

Jos yksi salasanoitustani on kompromissi, ovatko muut salasanani kompromisseja liian?

Jos yksi salasanoitustani on kompromissi, ovatko muut salasanani kompromisseja liian?

Geoffrey Carr

Jos jokin salasanasi vaarantuu, merkitseekö se automaattisesti, että myös muut salasanasi ovat vaarassa? Vaikka pelissä on melko vähän muuttujaa, kysymys on mielenkiintoinen kuvaus siitä, mikä tekee salasanasta haavoittuvan ja mitä voit tehdä suojellaksesi itseäsi.

Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin ansiosta. Tämä on Stack Exchange -jako, joka on Q & A-sivustojen yhteisöjoukkoyhtymä.

Kysymys

SuperUser-lukija Michael McGowan on utelias, kuinka pitkälle yksittäisen salasanan rikkomisen vaikutus on; hän kirjoittaa:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like mySecure12#PasswordA paikan päällä A jamySecure12#PasswordB paikan päällä B (voit käyttää muuta "samankaltaisuuden" määritelmää, jos se on järkevää).

Oletetaan, että sivuston A salasana on jotenkin vaarantunut ... ehkä sivuston A haittaohjelmasta tai tietoturvan vuotamisesta. Tarkoittaako tämä sitä, että sivuston B salasana on tosiasiallisesti vaarantunut vai onko salasanan samankaltaisuus tällainen? Onko mitään merkitystä, onko sivuston A kompromissi tavallinen tekstivuoto vai hajotettu versio?

Pitäisikö Michael huolehtia, jos hänen hypoteettinen tilanne muuttuu?

Vastaus

SuperUser-avustajat auttoivat selvittämään Michaelin ongelman. Ylivoimaistuottaja Queso kirjoittaa:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Toinen Superuser-avustaja, Michael Trausch, selittää, miten useimmissa tilanteissa hypoteettinen tilanne ei ole paljon huolenaiheita:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Jos olet huolestunut siitä, että nykyinen salasanaluettelo ei ole monipuolinen ja tarpeeksi satunnainen, suosittelemme kattavan salasanasuojausopastuksen tarkistamista: Kuinka palauttaa sähköpostisi salasanan jälkeen. Uusimalla salasanalistojasi, jos kaikkien salasanojen äiti, sähköposti salasanasi, on vaarantunut, on helppo tuoda nopeasti salasanasi portfolio nopeasti.


Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.

Link
Plus
Send
Send
Pin