If-Koubou

Jos yksi salasanoitustani on kompromissi, ovatko muut salasanani kompromisseja liian?

Jos yksi salasanoitustani on kompromissi, ovatko muut salasanani kompromisseja liian? (Miten)

Jos jokin salasanasi vaarantuu, merkitseekö se automaattisesti, että myös muut salasanasi ovat vaarassa? Vaikka pelissä on melko vähän muuttujaa, kysymys on mielenkiintoinen kuvaus siitä, mikä tekee salasanasta haavoittuvan ja mitä voit tehdä suojellaksesi itseäsi.

Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin ansiosta. Tämä on Stack Exchange -jako, joka on Q & A-sivustojen yhteisöjoukkoyhtymä.

Kysymys

SuperUser-lukija Michael McGowan on utelias, kuinka pitkälle yksittäisen salasanan rikkomisen vaikutus on; hän kirjoittaa:

Oletetaan, että käyttäjä käyttää turvallista salasanaa sivustossa A ja eri mutta samanlaista suojattua salasanaa sivustolla B. Ehkä jotainmySecure12 # PasswordA paikan päällä A jamySecure12 # SALASANAA paikan päällä B (voit käyttää muuta "samankaltaisuuden" määritelmää, jos se on järkevää).

Oletetaan, että sivuston A salasana on jotenkin vaarantunut ... ehkä sivuston A haittaohjelmasta tai tietoturvan vuotamisesta. Tarkoittaako tämä sitä, että sivuston B salasana on tosiasiallisesti vaarantunut vai onko salasanan samankaltaisuus tällainen? Onko mitään merkitystä, onko sivuston A kompromissi tavallinen tekstivuoto vai hajotettu versio?

Pitäisikö Michael huolehtia, jos hänen hypoteettinen tilanne muuttuu?

Vastaus

SuperUser-avustajat auttoivat selvittämään Michaelin ongelman. Ylivoimaistuottaja Queso kirjoittaa:

Vastaa viimeiseen osaan ensin: Kyllä, se merkitsisi eroa, jos paljastetut tiedot olivat selkeitä tai hashed-muotoisia. Hajautuksessa, jos muutat yksittäistä merkkiä, koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tuntee salasanan, on raa'an pakottaa hash (ei mahdotonta, varsinkin jos hash on salamatonta.

Mitä tulee samankaltaisuuteen, se riippuu siitä, mitä hyökkääjä tietää teistä. Jos saan salasanani sivustolla A ja jos tiedän, että käytät tiettyjä kuvioita käyttäjätunnusten luomiseen tai sellaisiin, voin kokeilla samoja salasanoja koskevia yleissopimuksia sivustoissa, joita käytät.

Vaihtoehtoisesti, jos annat yllä mainituissa salasanoissa, jos hyökkääjä näkee selvän kuvion, jonka avulla voin erottaa sivustokohtaisen salasanan osan yleisestä salasanaosasta, määritän varmasti räätälöidyn mukautetun salasanahyökkäyksen osan sinulle.

Esimerkkinä mainittakoon, että sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C. Jos haluat käyttää salasanaa eri sivustoissa, lisäät sivustokohtaisen kohteen alkuun niin, että sinulla on salasanat, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, jos hakata facebook ja saada facebook58htg% HF! c Näen tämän mallin ja käytän sitä muissa sivustoissa, jotka saan mielestäni käyttää.

Kaikki tulee alas kuvioihin. Hyökkääjä näkee kuvion sivustokohtaisessa osassa ja salasanan yleisessä osassa?

Toinen Superuser-avustaja, Michael Trausch, selittää, miten useimmissa tilanteissa hypoteettinen tilanne ei ole paljon huolenaiheita:

Vastaa viimeiseen osaan ensin: Kyllä, se merkitsisi eroa, jos paljastetut tiedot olivat selkeitä tai hashed-muotoisia. Hajautuksessa, jos muutat yksittäistä merkkiä, koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tuntee salasanan, on raa'an pakottaa hash (ei mahdotonta, varsinkin jos hash on salamatonta.

Mitä tulee samankaltaisuuteen, se riippuu siitä, mitä hyökkääjä tietää teistä. Jos saan salasanani sivustolla A ja jos tiedän, että käytät tiettyjä kuvioita käyttäjätunnusten luomiseen tai sellaisiin, voin kokeilla samoja salasanoja koskevia yleissopimuksia sivustoissa, joita käytät.

Vaihtoehtoisesti, jos annat yllä mainituissa salasanoissa, jos hyökkääjä näkee selvän kuvion, jonka avulla voin erottaa sivustokohtaisen salasanan osan yleisestä salasanaosasta, määritän varmasti räätälöidyn mukautetun salasanahyökkäyksen osan sinulle.

Esimerkkinä mainittakoon, että sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C. Jos haluat käyttää salasanaa eri sivustoissa, lisäät sivustokohtaisen kohteen alkuun niin, että sinulla on salasanat, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, jos hakata facebook ja saada facebook58htg% HF! c Näen tämän mallin ja käytän sitä muissa sivustoissa, jotka saan mielestäni käyttää.

Kaikki tulee alas kuvioihin. Hyökkääjä näkee kuvion sivustokohtaisessa osassa ja salasanan yleisessä osassa?

Jos olet huolestunut siitä, että nykyinen salasanaluettelo ei ole monipuolinen ja tarpeeksi satunnainen, suosittelemme kattavan salasanasuojausopastuksen tarkistamista: Kuinka palauttaa sähköpostisi salasanan jälkeen. Uusimalla salasanalistojasi, jos kaikkien salasanojen äiti, sähköposti salasanasi, on vaarantunut, on helppo tuoda nopeasti salasanasi portfolio nopeasti.

Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.