Hvis en af dine adgangskoder er kompromitteret, betyder det automatisk, at dine andre adgangskoder også er kompromitteret? Mens der er en hel del variabler, er spørgsmålet et interessant kig på, hvad der gør en adgangskode sårbar, og hvad du kan gøre for at beskytte dig selv.
Dagens Spørgsmål og svar-session kommer til os med tilladelse fra SuperUser - en underafdeling af Stack Exchange, en gruppedrevsgruppe af Q & A-websteder.
Spørgsmålet
SuperUser-læser Michael McGowan er nysgerrig, hvor vidtrækkende virkningen af en enkelt adgangskodebrydning er; han skriver:
Antag at en bruger bruger en sikker adgangskode på sted A og en anden, men lignende sikker adgangskode på sted B. Måske noget i retning af
mySecure12 # Adgangskode A.på websted A ogmySecure12 # AdgangskodeBpå side B (brug gjerne en anden definition af "lighed", hvis det giver mening).Antag så, at adgangskoden til side A på en eller anden måde er kompromitteret ... måske en ondsindet ansat på site A eller en sikkerhedslækage. Betyder dette, at websted B's adgangskode faktisk også er kompromitteret, eller er der ikke sådan noget som "adgangskodelighed" i denne sammenhæng? Gør det nogen forskel, om kompromiset på websted A var en almindelig tekstlækage eller en hashversion?
Skal Michael bekymre sig, hvis hans hypotetiske situation bliver til?
Svaret
SuperUser-bidragsydere hjalp med at rydde problemet for Michael. Superbruger-bidragyder Queso skriver:
For at besvare den sidste del først: Ja, det ville gøre en forskel, hvis de afslørede data var klartekst versus hash. I en hash, hvis du ændrer et enkelt tegn, er hele hashet helt anderledes. Den eneste måde, hvorpå en angriber kender adgangskoden, er at tvinge hashen (ikke umuligt, især hvis hasjen er usaltet. Se regnbue borde ).
For så vidt angår lighedsspørgsmålet, ville det afhænge af, hvad angriberen ved om dig. Hvis jeg får din adgangskode på websted A, og hvis jeg ved, at du bruger bestemte mønstre til at oprette brugernavne eller sådan, kan jeg prøve de samme konventioner om adgangskoder på websteder, du bruger.
Alternativt, i de adgangskoder, du giver ovenfor, hvis jeg som angriber ser et indlysende mønster, som jeg kan bruge til at adskille en stedsspecifik del af adgangskoden fra den generelle adgangskodedel, vil jeg bestemt gøre den del af et brugerdefineret adgangskodeangreb skræddersyet til dig.
Sig som et eksempel, at du har en super sikker adgangskode som 58htg% HF! C. For at bruge denne adgangskode på forskellige sider tilføjer du et stedsspecifikt element til begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan vædde, hvis jeg hack din facebook og få facebook58htg% HF! c Jeg vil se det mønster og bruge det på andre sider, jeg finder ud af, at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den stedsspecifikke del og generiske del af din adgangskode?
En anden Superuser-bidragyder, Michael Trausch, forklarer, hvordan den hypotetiske situation i de fleste situationer ikke er meget bekymrende:
For at besvare den sidste del først: Ja, det ville gøre en forskel, hvis de afslørede data var klartekst versus hash. I en hash, hvis du ændrer et enkelt tegn, er hele hashet helt anderledes. Den eneste måde, hvorpå en angriber kender adgangskoden, er at tvinge hashen (ikke umuligt, især hvis hasjen er usaltet. Se regnbue borde ).
For så vidt angår lighedsspørgsmålet, ville det afhænge af, hvad angriberen ved om dig. Hvis jeg får din adgangskode på websted A, og hvis jeg ved, at du bruger bestemte mønstre til at oprette brugernavne eller sådan, kan jeg prøve de samme konventioner om adgangskoder på websteder, du bruger.
Alternativt, i de adgangskoder, du giver ovenfor, hvis jeg som angriber ser et indlysende mønster, som jeg kan bruge til at adskille en stedsspecifik del af adgangskoden fra den generelle adgangskodedel, vil jeg bestemt gøre den del af et brugerdefineret adgangskodeangreb skræddersyet til dig.
Sig som et eksempel, at du har en super sikker adgangskode som 58htg% HF! C. For at bruge denne adgangskode på forskellige sider tilføjer du et stedsspecifikt element til begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan vædde, hvis jeg hack din facebook og få facebook58htg% HF! c Jeg vil se det mønster og bruge det på andre sider, jeg finder ud af, at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den stedsspecifikke del og generiske del af din adgangskode?
Hvis du er bekymret for, at din nuværende adgangskodeliste ikke er forskellig og tilfældig nok, anbefaler vi stærkt at tjekke vores omfattende adgangskodesikkerhedsguide: Sådan gendannes efter din e-mail-adgangskode er kompromitteret . Ved at omarbejde dine adgangskodelister, som om moderen til alle adgangskoder, din e-mail-adgangskode, er blevet kompromitteret, er det let at hurtigt få adgang til din adgangskodeportefølje.
Har du noget at tilføje til forklaringen? Lyder i kommentarerne. Vil du læse flere svar fra andre teknisk kyndige Stack Exchange-brugere? Tjek den fulde diskussionstråd her .
