Jos joku salasanoistasi on vaarantunut, tarkoittaakö se automaattisesti, että myös muut salasanasi ovat vaarantuneet? Vaikka muutamia muuttujia on pelissä, kysymys on mielenkiintoinen katsaus siihen, mikä tekee salasanasta haavoittuvan ja mitä voit tehdä itsesi suojaamiseksi.
Tämän päivän Kysymys- ja vastausistunto tulee meille SuperUser-lisenssillä - joka on Stack Exchangen alaryhmä.
Kysymys
SuperUser-lukija Michael McGowan on utelias, kuinka pitkälle yhden salasanan rikkomisen vaikutus on; hän kirjoittaa:
Oletetaan, että käyttäjä käyttää suojattua salasanaa sivustolla A ja erilaista, mutta samanlaista suojattua salasanaa sivustolla B. Ehkä jotain
mySecure12 # Salasanatyömaalla A jamySecure12 # SalasanaBsivustolla B (käytä vapaasti toista määritelmää "samankaltaisuudesta", jos sillä on järkeä).Oletetaan, että sivuston A salasana on jotenkin vaarantunut ... ehkä sivuston A haitallinen työntekijä tai tietoturvavuoto. Tarkoittaako tämä, että myös sivuston B salasana on tosiasiallisesti vaarantunut, vai eikö tässä yhteydessä ole "salasanan samankaltaisuutta"? Onko mitään väliä onko kompromissi A-sivustolla pelkkää tekstiä sisältävä vuoto vai tiivistetty versio?
Pitäisikö Michael olla huolissaan, jos hänen hypoteettinen tilanne toteutuu?
Vastaus
SuperUser-avustajat auttoivat selvittämään asian Michaelille. Superuser-avustaja Queso kirjoittaa:
Viimeiseen osaan vastaaminen ensin: Kyllä, sillä olisi merkitystä, jos paljastetut tiedot olisivat selkeää tekstiä tai hajautettua. Jos vaihdat yhden hahmon, hashissa koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tietäisi salasanan, on raa'asti pakottaa hash (ei mahdotonta, varsinkin jos hash on suolaton. Katso sateenkaaripöydät ).
Samankaltaisuuskysymyksen osalta se riippuu siitä, mitä hyökkääjä tietää sinusta. Jos saan salasanasi sivustolta A ja jos tiedän, että käytät tiettyjä malleja käyttäjänimien tai vastaavien luomiseen, voin kokeilla samoja käytäntöjä käyttämiesi sivustojen salasanoihin.
Vaihtoehtoisesti, jos annan yllä annetuissa salasanoissa, jos hyökkääjänä näen ilmeisen mallin, jonka avulla voin erottaa sivustokohtaisen osan salasanasta yleisestä salasanaosasta, teen ehdottomasti kyseisen osan räätälöitystä salasanasuojauksesta sinulle.
Oletetaan esimerkiksi, että sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C. Jos haluat käyttää tätä salasanaa eri sivustoissa, lisää alkuun sivustokohtainen kohde, jotta sinulla on salasanoja, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, jos minä hakata Facebookiasi ja hanki facebook58htg% HF! c Aion nähdä kyseisen mallin ja käyttää sitä muilla sivustoilla, joita voin käyttää.
Kaikki riippuu malleista. Näkyykö hyökkääjä kuvion salasanasi sivustokohtaisessa ja yleisessä osassa?
Toinen Superuser-avustaja Michael Trausch selittää, kuinka hypoteettinen tilanne ei useimmissa tilanteissa ole paljon huolestuttavaa:
Viimeiseen osaan vastaaminen ensin: Kyllä, olisi merkitystä, jos paljastetut tiedot olisivat selkeät tekstit vs. Jos vaihdat yhden hahmon, hashissa koko hash on täysin erilainen. Ainoa tapa, jolla hyökkääjä tietäisi salasanan, on raa'asti pakottaa hash (ei mahdotonta, varsinkin jos hash on suolaton. Katso sateenkaaripöydät ).
Samankaltaisuuskysymyksen osalta se riippuu siitä, mitä hyökkääjä tietää sinusta. Jos saan salasanasi sivustolta A ja jos tiedän, että käytät tiettyjä malleja käyttäjänimien tai vastaavien luomiseen, voin kokeilla samoja käytäntöjä käyttämiesi sivustojen salasanoihin.
Vaihtoehtoisesti, jos annan yllä annetuissa salasanoissa, jos hyökkääjänä näen ilmeisen mallin, jonka avulla voin erottaa sivustokohtaisen osan salasanasta yleisestä salasanaosasta, teen ehdottomasti kyseisen osan räätälöitystä salasanasuojauksesta sinulle.
Oletetaan esimerkiksi, että sinulla on erittäin turvallinen salasana, kuten 58htg% HF! C. Jos haluat käyttää tätä salasanaa eri sivustoissa, lisää alkuun sivustokohtainen kohde, jotta sinulla on salasanoja, kuten: facebook58htg% HF! C, wellsfargo58htg% HF! C tai gmail58htg% HF! C, voit lyödä vetoa, jos minä hakata Facebookiasi ja hanki facebook58htg% HF! c Aion nähdä kyseisen mallin ja käyttää sitä muilla sivustoilla, joita voin käyttää.
Kaikki riippuu malleista. Näkyykö hyökkääjä kuvion salasanasi sivustokohtaisessa ja yleisessä osassa?
Jos olet huolissasi siitä, että nykyinen salasanaluettelosi ei ole riittävän monipuolinen ja satunnainen, suosittelemme, että tutustut kattavaan salasanasuojausoppaasemme: Kuinka palauttaa, kun sähköpostiosoitteesi salasana on vaarantunut . Työskentelemällä salasanaluetteloitasi ikään kuin kaikkien salasanojen äiti eli sähköpostisalasanasi olisi vaarantunut, salasanasalkun nopeuttaminen on helppoa.
Onko sinulla jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta teknisesti taitavilta Stack Exchangen käyttäjiltä? Katso koko keskusteluketju täältä .
