Pokud je jedno z vašich hesel prolomeno, znamená to automaticky, že jsou prolomena i vaše další hesla? I když je ve hře poměrně málo proměnných, otázkou je zajímavý pohled na to, co činí heslo zranitelným a co můžete udělat, abyste se chránili.
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - subdivize Stack Exchange, což je seskupení webů otázek a odpovědí na úrovni komunity.
Otázka
Čtenář SuperUser Michael McGowan je zvědavý, jak daleko je dopad jednoho porušení hesla; napsal:
Předpokládejme, že uživatel používá zabezpečené heslo na webu A a jiné, ale podobné zabezpečené heslo na webu B. Možná něco podobného
mySecure12 # HesloAna místě A amySecure12 # HesloBna stránce B (pokud to má smysl, použijte jinou definici „podobnosti“).Předpokládejme tedy, že heslo pro web A je nějakým způsobem kompromitováno ... možná nebezpečný zaměstnanec webu A nebo únik zabezpečení. Znamená to, že bylo účinně prolomeno i heslo stránky B, nebo v tomto kontextu neexistuje něco jako „podobnost hesla“? Je nějaký rozdíl v tom, zda kompromis na webu A byl únik prostého textu nebo hašovaná verze?
Měl by si Michael dělat starosti, pokud dojde k jeho hypotetické situaci?
Odpověď
Přispěvatelé SuperUser pomohli Michaelovi problém vyřešit. Přispěvatel superuživatele Queso píše:
Chcete-li nejprve odpovědět na poslední část: Ano, bylo by rozdílné, kdyby zveřejňovaná data byla ve formátu cleartext vs. hash. V hash, pokud změníte jeden znak, celý hash je úplně jiný. Jediným způsobem, jak by útočník mohl znát heslo, je hrubou silou hash (není to nemožné, zvláště pokud je hash nesolený. Viz duhové stoly ).
Pokud jde o otázku podobnosti, záviselo by to na tom, co o vás útočník ví. Pokud dostanu vaše heslo na stránce A a pokud vím, že pro vytváření uživatelských jmen používáte určité vzory, můžu zkusit stejné konvence pro hesla na stránkách, které používáte.
Alternativně v heslech, která zadáte výše, pokud já jako útočník uvidím zřejmý vzor, který mohu použít k oddělení části hesla specifické pro web od části obecného hesla, rozhodně udělám tuto část vlastního útoku na heslo přizpůsobenou tobě.
Například řekněme, že máte super zabezpečené heslo, jako je 58htg% HF! C. Chcete-li použít toto heslo na různých webech, přidáte na začátek položku specifickou pro web, abyste měli hesla jako: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, můžete se vsadit, když hackněte si facebook a získejte facebook58htg% HF! c Uvidím ten vzor a použiji ho na jiných stránkách, zjistím, že můžete použít.
Všechno se to odvíjí od vzorů. Uvidí útočník vzor v části specifické pro web a obecné části vašeho hesla?
Další přispěvatel Superuser, Michael Trausch, vysvětluje, že ve většině situací není hypotetická situace příliš znepokojující:
Chcete-li nejprve odpovědět na poslední část: Ano, bylo by rozdílné, kdyby zveřejňovaná data byla ve formátu cleartext vs. hash. V hash, pokud změníte jeden znak, celý hash je úplně jiný. Jediným způsobem, jak by útočník mohl znát heslo, je hrubou silou hash (není to nemožné, zvláště pokud je hash nesolený. Viz duhové stoly ).
Pokud jde o otázku podobnosti, záviselo by to na tom, co o vás útočník ví. Pokud dostanu vaše heslo na stránce A a pokud vím, že pro vytváření uživatelských jmen používáte určité vzory, můžu zkusit stejné konvence pro hesla na stránkách, které používáte.
Alternativně v heslech, která zadáte výše, pokud já jako útočník uvidím zřejmý vzor, který mohu použít k oddělení části hesla specifické pro web od části obecného hesla, rozhodně udělám tuto část vlastního útoku na heslo přizpůsobenou tobě.
Například řekněme, že máte super zabezpečené heslo, jako je 58htg% HF! C. Chcete-li použít toto heslo na různých webech, přidáte na začátek položku specifickou pro web, abyste měli hesla jako: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, můžete se vsadit, když hackněte si facebook a získejte facebook58htg% HF! c Uvidím ten vzor a použiji ho na jiných stránkách, zjistím, že můžete použít.
Všechno se to odvíjí od vzorů. Uvidí útočník vzor v části specifické pro web a obecné části vašeho hesla?
Pokud máte obavy, že váš aktuální seznam hesel není dostatečně různorodý a náhodný, důrazně doporučujeme pročíst si našeho komplexního průvodce zabezpečením hesel: Jak se zotavit po narušení hesla vašeho e-mailu . Přepracováním svých seznamů hesel, jako by byla ohrožena matka všech hesel, vašeho e-mailového hesla, je snadné rychle zrychlit portfolio vašich hesel.
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
