Si una de sus contraseñas está comprometida, ¿significa eso automáticamente que sus otras contraseñas también están comprometidas? Si bien hay bastantes variables en juego, la pregunta es una mirada interesante a qué hace que una contraseña sea vulnerable y qué puede hacer para protegerse.
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad.
La pregunta
El lector de superusuario Michael McGowan siente curiosidad por saber hasta qué punto alcanza el impacto de una sola violación de contraseña; el escribe:
Suponga que un usuario usa una contraseña segura en el sitio A y una contraseña segura diferente pero similar en el sitio B. Tal vez algo como
mySecure12 # PasswordAen el sitio A ymySecure12 # PasswordBen el sitio B (siéntase libre de utilizar una definición diferente de "similitud" si tiene sentido).Supongamos entonces que la contraseña del sitio A está comprometida de alguna manera… tal vez un empleado malintencionado del sitio A o una fuga de seguridad. ¿Significa esto que la contraseña del sitio B también se ha visto comprometida, o no existe tal cosa como "similitud de contraseña" en este contexto? ¿Hay alguna diferencia si el compromiso en el sitio A fue una filtración de texto sin formato o una versión hash?
¿Michael debería preocuparse si su situación hipotética llega a suceder?
La respuesta
Los colaboradores de SuperUser ayudaron a aclarar el problema para Michael. El colaborador superusuario Queso escribe:
Para responder la última parte primero: Sí, haría una diferencia si los datos divulgados fueran texto sin cifrar o hash. En un hash, si cambia un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante podría conocer la contraseña es mediante la fuerza bruta del hash (no es imposible, especialmente si el hash no tiene sal. mesas arcoiris ).
En cuanto a la cuestión de la similitud, dependería de lo que el atacante sepa sobre ti. Si obtengo su contraseña en el sitio A y sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones en las contraseñas de los sitios que usa.
Alternativamente, en las contraseñas que proporcionaste anteriormente, si yo, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré que esa parte de un ataque de contraseña personalizado sea personalizado para ti.
Como ejemplo, digamos que tiene una contraseña súper segura como 58htg% HF! C. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si piratea tu facebook y obtén facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentre que puedas usar.
Todo se reduce a patrones. ¿Verá el atacante un patrón en la parte específica del sitio y en la parte genérica de su contraseña?
Otro colaborador de Superusuario, Michael Trausch, explica cómo en la mayoría de las situaciones la situación hipotética no es motivo de gran preocupación:
Para responder la última parte primero: Sí, haría una diferencia si los datos divulgados fueran texto sin cifrar o hash. En un hash, si cambia un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante podría conocer la contraseña es mediante la fuerza bruta del hash (no es imposible, especialmente si el hash no tiene sal. mesas arcoiris ).
En cuanto a la cuestión de la similitud, dependería de lo que el atacante sepa sobre ti. Si obtengo su contraseña en el sitio A y sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones en las contraseñas de los sitios que usa.
Alternativamente, en las contraseñas que proporcionaste anteriormente, si yo, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré que esa parte de un ataque de contraseña personalizado sea personalizado para ti.
Como ejemplo, digamos que tiene una contraseña súper segura como 58htg% HF! C. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si piratea tu facebook y obtén facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentre que puedas usar.
Todo se reduce a patrones. ¿Verá el atacante un patrón en la parte específica del sitio y en la parte genérica de su contraseña?
Si le preocupa que su lista de contraseñas actual no sea lo suficientemente diversa y aleatoria, le recomendamos que consulte nuestra guía completa de seguridad de contraseñas: Cómo recuperarse después de que la contraseña de su correo electrónico se vea comprometida . Al reelaborar sus listas de contraseñas como si la madre de todas las contraseñas, su contraseña de correo electrónico, se hubiera visto comprometida, es fácil actualizar rápidamente su cartera de contraseñas.
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Consulte el hilo de discusión completo aquí .
