אם אחת מהסיסמאות שלי נפגעת האם הסיסמאות האחרות שלי גם נפגעות?

תוכן ללא הכנסה

אם אחת מהסיסמאות שלך נפגעת, האם זה אומר באופן אוטומטי שגם הסיסמאות האחרות שלך נפגעות? אמנם ישנם לא מעט משתנים בהשוואה, אך השאלה היא הסתכלות מעניינת מה הופך סיסמה לפגיעה ומה אתה יכול לעשות כדי להגן על עצמך.

מושב השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה משנה של Stack Exchange, קיבוץ קהילתי של אתרי שאלות ותשובות.

השאלה

קורא SuperUser, מייקל מקגואן, סקרן עד כמה ההשפעה של הפרת סיסמא אחת רחוקה; הוא כותב:

נניח שמשתמש משתמש בסיסמה מאובטחת באתר A ובסיסמה מאובטחת שונה אך דומה באתר B. אולי משהו כמו mySecure12 # סיסמה A. באתר A ו- mySecure12 # סיסמה B. באתר ב '(אל תהסס להשתמש בהגדרה אחרת של "דמיון" אם זה הגיוני).

נניח אם כן שהסיסמה לאתר A נפגעת איכשהו ... אולי עובד זדוני באתר A או דליפת אבטחה. האם זה אומר שהסיסמה של אתר ב 'נפגעה למעשה גם כן, או שאין דבר כזה "דמיון סיסמא" בהקשר זה? האם זה משנה אם הפשרה באתר A הייתה דליפת טקסט רגיל או גרסת hashed?

האם מיכאל צריך לדאוג אם מצבו ההיפותטי יתממש?

התשובה

תורמי SuperUser עזרו לנקות את הנושא עבור מייקל. תורם משתמש-העל Queso כותב:

כדי לענות תחילה על החלק האחרון: כן, זה היה משנה אם הנתונים שנחשפו היו טקסט ברור לעומת גיבוב. בחשיש, אם משנים תו יחיד, החשיש כולו שונה לחלוטין. הדרך היחידה שתוקף יידע את הסיסמה היא להכריע את החשיש (לא בלתי אפשרי, במיוחד אם החשיש אינו מלוח. ראה שולחנות קשת ).

מבחינת שאלת הדמיון, זה יהיה תלוי במה שהתוקף יודע עליך. אם אני מקבל את הסיסמה שלך באתר A ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות את אותן מוסכמות לגבי סיסמאות באתרים שאתה משתמש בהם.

לחלופין, בסיסמאות שאתה נותן לעיל, אם אני כתוקף רואה דפוס ברור שאוכל להשתמש בו כדי להפריד חלק ספציפי לאתר של הסיסמה לחלק הסיסמה הגנרית, אני בהחלט אעשה את החלק הזה של התקפת סיסמה מותאמת אישית. לך.

לדוגמה, נניח שיש לך סיסמה מאובטחת במיוחד כמו 58htg% HF! C. כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר להתחלה, כך שיש לך סיסמאות כמו: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להמר אם אני לפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! c אני הולך לראות את הדפוס הזה ולהשתמש בו באתרים אחרים שאני מוצא שאתה יכול להשתמש בו.

הכל מסתכם בדפוסים. האם התוקף יראה דפוס בחלק הספציפי לאתר ובחלק הכללי של הסיסמה שלך?

תורם נוסף של Superuser, מייקל טראוש, מסביר כיצד ברוב המצבים המצב ההיפותטי אינו גורם לדאגה רבה:

כדי לענות תחילה על החלק האחרון: כן, זה היה משנה אם הנתונים שנחשפו היו טקסט ברור לעומת גיבוב. בחשיש, אם משנים תו יחיד, החשיש כולו שונה לחלוטין. הדרך היחידה שתוקף יידע את הסיסמה היא להכריע את החשיש (לא בלתי אפשרי, במיוחד אם החשיש אינו מלוח. ראה שולחנות קשת ).

מבחינת שאלת הדמיון, זה יהיה תלוי במה שהתוקף יודע עליך. אם אני מקבל את הסיסמה שלך באתר A ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות את אותן מוסכמות לגבי סיסמאות באתרים שאתה משתמש בהם.

לחלופין, בסיסמאות שאתה נותן לעיל, אם אני כתוקף רואה דפוס ברור שאוכל להשתמש בו כדי להפריד חלק ספציפי לאתר של הסיסמה לחלק הסיסמה הגנרית, אני בהחלט אעשה את החלק הזה של התקפת סיסמה מותאמת אישית. לך.

לדוגמה, נניח שיש לך סיסמה מאובטחת במיוחד כמו 58htg% HF! C. כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר להתחלה, כך שיש לך סיסמאות כמו: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להמר אם אני לפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! c אני הולך לראות את הדפוס הזה ולהשתמש בו באתרים אחרים שאני מוצא שאתה יכול להשתמש בו.

הכל מסתכם בדפוסים. האם התוקף יראה דפוס בחלק הספציפי לאתר ובחלק הכללי של הסיסמה שלך?

אם אתה חושש שרשימת הסיסמאות הנוכחית שלך אינה מגוונת ואקראית מספיק, אנו ממליצים לבדוק את המדריך המקיף שלנו לאבטחת סיסמאות: כיצד להתאושש לאחר סיסמת הדוא"ל שלך . על ידי עיבוד מחדש של רשימות הסיסמאות שלך כאילו האם לכל הסיסמאות, סיסמת הדוא"ל שלך, נפגעה, קל להעלות במהירות את תיק הסיסמאות שלך.

---

יש לך מה להוסיף להסבר? נשמע בתגובות. רוצה לקרוא תשובות נוספות ממשתמשי Stack Exchange אחרים המתמצאים בטכנולוגיה? עיין כאן בשרשור הדיון המלא .