Si l'un de vos mots de passe est compromis, cela signifie-t-il automatiquement que vos autres mots de passe sont également compromis? Bien qu'il y ait pas mal de variables en jeu, la question est un regard intéressant sur ce qui rend un mot de passe vulnérable et ce que vous pouvez faire pour vous protéger.
La session de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement de sites Web de questions-réponses sur le lecteur communautaire.
The Question
Le lecteur SuperUser Michael McGowan est curieux de l'ampleur de l'impact d'une seule violation de mot de passe; il écrit:
Supposons qu'un utilisateur utilise un mot de passe sécurisé sur le site A et un mot de passe sécurisé différent mais similaire sur le site B.Peut-être quelque chose comme
mySecure12 # PasswordAsur le site A etmySecure12 # PasswordBsur le site B (n'hésitez pas à utiliser une définition différente de la «similitude» si cela a du sens).Supposons alors que le mot de passe du site A soit en quelque sorte compromis… peut-être un employé malveillant du site A ou une fuite de sécurité. Cela signifie-t-il que le mot de passe du site B a également été compromis, ou n'existe-t-il pas de «similitude de mot de passe» dans ce contexte? Cela fait-il une différence que le compromis sur le site A soit une fuite de texte brut ou une version hachée?
Michael devrait-il s'inquiéter si sa situation hypothétique se réalise?
La réponse
Les contributeurs SuperUser ont aidé à résoudre le problème pour Michael. Le contributeur superutilisateur Queso écrit:
Pour répondre à la dernière partie en premier: Oui, cela ferait une différence si les données divulguées étaient en texte clair ou hachées. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. La seule façon pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir tables arc-en-ciel ).
En ce qui concerne la question de similitude, cela dépendrait de ce que l'attaquant sait de vous. Si j'obtiens votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur ou autres, je peux essayer ces mêmes conventions sur les mots de passe sur les sites que vous utilisez.
Alternativement, dans les mots de passe que vous donnez ci-dessus, si je vois en tant qu'attaquant un modèle évident que je peux utiliser pour séparer une partie spécifique au site du mot de passe de la partie mot de passe générique, je vais certainement adapter cette partie d'une attaque de mot de passe personnalisée à toi.
Par exemple, disons que vous avez un mot de passe super sécurisé comme 58htg% HF! C. Pour utiliser ce mot de passe sur différents sites, vous ajoutez un élément spécifique au site au début, de sorte que vous ayez des mots de passe comme: facebook58htg% HF! C, wellsfargo58htg% HF! C, ou gmail58htg% HF! C, vous pouvez parier si je pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un modèle dans la partie spécifique au site et la partie générique de votre mot de passe?
Un autre contributeur Superuser, Michael Trausch, explique comment dans la plupart des situations la situation hypothétique n'est pas très préoccupante:
Pour répondre à la dernière partie en premier: Oui, cela ferait une différence si les données divulguées étaient en texte clair ou hachées. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. La seule façon pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir tables arc-en-ciel ).
En ce qui concerne la question de similitude, cela dépendrait de ce que l'attaquant sait de vous. Si j'obtiens votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur ou autres, je peux essayer ces mêmes conventions sur les mots de passe sur les sites que vous utilisez.
Alternativement, dans les mots de passe que vous donnez ci-dessus, si je vois en tant qu'attaquant un modèle évident que je peux utiliser pour séparer une partie spécifique au site du mot de passe de la partie mot de passe générique, je vais certainement adapter cette partie d'une attaque de mot de passe personnalisée à toi.
Par exemple, disons que vous avez un mot de passe super sécurisé comme 58htg% HF! C. Pour utiliser ce mot de passe sur différents sites, vous ajoutez un élément spécifique au site au début, de sorte que vous ayez des mots de passe comme: facebook58htg% HF! C, wellsfargo58htg% HF! C, ou gmail58htg% HF! C, vous pouvez parier si je pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un modèle dans la partie spécifique au site et la partie générique de votre mot de passe?
Si vous pensez que votre liste de mots de passe actuelle n'est pas suffisamment diversifiée et aléatoire, nous vous recommandons vivement de consulter notre guide complet de sécurité des mots de passe: Comment récupérer une fois votre mot de passe de messagerie compromis . En retravaillant vos listes de mots de passe comme si la mère de tous les mots de passe, votre mot de passe de messagerie, avait été compromise, il est facile d’actualiser rapidement votre portefeuille de mots de passe.
Avez-vous quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange férus de technologie? Consultez le fil de discussion complet ici .
