Ha az egyik jelszavát feltörték, akkor ez automatikusan azt jelenti, hogy a többi jelszavát is veszélyeztetik? Noha elég sok változó van játékban, a kérdés egy érdekes áttekintés arról, hogy mitől lesz sebezhető a jelszó, és mit tehetsz azért, hogy megvédd magad.
A mai Kérdések és válaszok a SuperUser jóvoltából érkeznek hozzánk - a Stack Exchange alosztályához, amely a Q & A webhelyek közösségi hajtású csoportosulása.
A kérdés
Michael McGowan, a SuperUser olvasója kíváncsi arra, hogy az egyetlen jelszó megsértésének mekkora hatása van; ír:
Tegyük fel, hogy egy felhasználó biztonságos jelszót használ az A webhelyen, és egy másik, de hasonló biztonságos jelszót használ a B webhelyen
mySecure12 # JelszóAaz A és a helyszínenmySecure12 # JelszóBa B oldalon (nyugodtan használjon más definíciót a „hasonlóságról”, ha van értelme).Tegyük fel, hogy az A webhely jelszavát valamilyen módon feltörték ... talán az A webhely rosszindulatú alkalmazottja vagy egy biztonsági szivárgás. Ez azt jelenti, hogy a B webhely jelszavát is ténylegesen feltörték, vagy ebben az összefüggésben nincs "jelszó-hasonlóság"? Van-e különbség, hogy az A webhelyen történt kompromisszum egyszerű szöveges szivárgás vagy hash verzió volt?
Michaelnek aggódnia kell, ha hipotetikus helyzete megvalósul?
A válasz
A SuperUser közreműködői segítettek tisztázni a problémát Michael számára. Queso, a Superuser közreműködője ezt írja:
Először az utolsó rész megválaszolása: Igen, változást hozna, ha a nyilvánosságra hozott adatok tiszta szöveg és kivonatolás lennének. Kivonatban, ha egyetlen karaktert módosít, az egész kivonat teljesen más. A támadó csak akkor tudja meg a jelszót, ha durván kényszeríti a kivonatot (nem lehetetlen, különösen, ha a hash sótlan. Lásd szivárvány asztalok ).
Ami a hasonlóság kérdését illeti, attól függne, hogy a támadó mit tud rólad. Ha megkapom a jelszavát az A webhelyen, és ha tudom, hogy bizonyos mintákat használ a felhasználónevek létrehozásához, akkor megpróbálhatom ugyanezeket a jelszavakat használni az Ön által használt webhelyeken.
Alternatív megoldásként a fent megadott jelszavakban, ha támadóként nyilvánvaló mintát látok, amellyel elválaszthatom a jelszó helyspecifikus részét az általános jelszótól, akkor mindenképpen testre szabom az egyedi jelszó-támadás ezt a részét neked.
Például mondjuk, hogy van egy szuper biztonságos jelszava, például 58htg% HF! C. Ahhoz, hogy ezt a jelszót különböző webhelyeken használja, adjon hozzá egy helyspecifikus tételt az elejéhez, hogy olyan jelszavai legyenek, mint: facebook58htg% HF! C, wellsfargo58htg% HF! C vagy gmail58htg% HF! C, akkor fogadhat, ha Hack Facebook és kap facebook58htg% HF! c Meg fogom nézni ezt a mintát, és használni fogom más webhelyeken, amelyeket találok.
Mindez mintákra vezethető vissza. Látni fogja a támadó mintát a jelszó helyspecifikus részében és általános részében?
A Superuser másik munkatársa, Michael Trausch elmagyarázza, hogy a hipotetikus helyzet a legtöbb helyzetben nem sok aggodalomra ad okot:
Először az utolsó rész megválaszolása: Igen, változást hozna, ha a nyilvánosságra hozott adatok tiszta szöveg és kivonatolás lennének. Kivonatban, ha egyetlen karaktert módosít, az egész kivonat teljesen más. A támadó csak akkor tudja meg a jelszót, ha durván kényszeríti a kivonatot (nem lehetetlen, különösen, ha a hash sótlan. Lásd szivárvány asztalok ).
Ami a hasonlóság kérdését illeti, attól függne, hogy a támadó mit tud rólad. Ha megkapom a jelszavát az A webhelyen, és ha tudom, hogy bizonyos mintákat használ a felhasználónevek létrehozásához, akkor megpróbálhatom ugyanezeket a jelszavakat használni az Ön által használt webhelyeken.
Alternatív megoldásként a fent megadott jelszavakban, ha támadóként nyilvánvaló mintát látok, amellyel elválaszthatom a jelszó helyspecifikus részét az általános jelszótól, akkor mindenképpen testre szabom az egyedi jelszó-támadás ezt a részét neked.
Például mondjuk, hogy van egy szuper biztonságos jelszava, például 58htg% HF! C. Ahhoz, hogy ezt a jelszót különböző webhelyeken használja, adjon hozzá egy helyspecifikus tételt az elejéhez, hogy olyan jelszavai legyenek, mint: facebook58htg% HF! C, wellsfargo58htg% HF! C vagy gmail58htg% HF! C, akkor fogadhat, ha Hack Facebook és kap facebook58htg% HF! c Meg fogom nézni ezt a mintát, és használni fogom más webhelyeken, amelyeket találok.
Mindez mintákra vezethető vissza. Látni fogja a támadó mintát a jelszó helyspecifikus részében és általános részében?
Ha aggódsz, hogy a jelenlegi jelszólista nem elég változatos és véletlenszerű, javasoljuk, hogy nézd meg átfogó jelszó biztonsági útmutatónkat: Hogyan lehet helyreállítani az e-mail jelszó megsértése után . A jelszójegyzékek átdolgozásával, mintha az összes jelszó anyja, az e-mail jelszava veszélybe került volna, könnyen fel lehet gyorsítani a jelszóállományt.
Van valami hozzáfűzhető a magyarázathoz? Hangzik el a megjegyzésekben. Szeretne további válaszokat olvasni más, hozzáértő Stack Exchange-felhasználóktól? Nézze meg a teljes vitafonalat itt .
