Jika salah satu kata sandi Anda disusupi, apakah itu secara otomatis berarti bahwa kata sandi Anda yang lain juga disusupi? Meskipun ada beberapa variabel yang berperan, pertanyaannya adalah pandangan menarik tentang apa yang membuat kata sandi rentan dan apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri.
Sesi Tanya & Jawab hari ini hadir atas kebaikan SuperUser — subdivisi Stack Exchange, pengelompokan situs web Tanya Jawab yang didorong komunitas.
Pertanyaan
Pembaca SuperUser Michael McGowan ingin tahu sejauh mana dampak dari pelanggaran sandi tunggal; dia menulis:
Misalkan seorang pengguna menggunakan kata sandi yang aman di situs A dan kata sandi aman yang berbeda tetapi serupa di situs B. Mungkin sesuatu seperti itu
mySecure12 # PasswordAdi situs A danmySecure12 # PasswordBdi situs B (silakan gunakan definisi "kesamaan" yang berbeda jika masuk akal).Misalkan kata sandi untuk situs A entah bagaimana disusupi ... mungkin karyawan situs A yang jahat atau kebocoran keamanan. Apakah ini berarti bahwa sandi situs B juga telah disusupi secara efektif, atau apakah tidak ada yang namanya "kesamaan sandi" dalam konteks ini? Apakah ada bedanya apakah penyusupan di situs A adalah kebocoran teks biasa atau versi hash?
Haruskah Michael khawatir jika situasi hipotetisnya terjadi?
Jawabannya
Kontributor SuperUser membantu menjernihkan masalah untuk Michael. Kontributor superuser Queso menulis:
Untuk menjawab bagian terakhir dulu: Ya, akan ada bedanya jika data yang diungkapkan adalah cleartext vs. hash. Dalam hash, jika Anda mengubah satu karakter, seluruh hash akan sangat berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan memaksa hash (bukan tidak mungkin, terutama jika hash tidak diberi garam. tabel pelangi ).
Sejauh pertanyaan kemiripan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba ketentuan yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian kata sandi khusus situs dari bagian kata sandi umum, saya pasti akan membuat bagian itu dari serangan kata sandi khusus disesuaikan kepadamu.
Misalnya, Anda memiliki sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item khusus situs di awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda dapat bertaruh jika saya hack facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang mungkin Anda gunakan.
Semuanya bermuara pada pola. Akankah penyerang melihat pola di bagian khusus situs dan bagian umum kata sandi Anda?
Kontributor Superuser lainnya, Michael Trausch, menjelaskan bagaimana dalam kebanyakan situasi situasi hipotetis tidak terlalu memprihatinkan:
Untuk menjawab bagian terakhir dulu: Ya, akan ada bedanya jika data yang diungkapkan adalah cleartext vs. hash. Dalam hash, jika Anda mengubah satu karakter, seluruh hash akan sangat berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan memaksa hash (bukan tidak mungkin, terutama jika hash tidak diberi garam. tabel pelangi ).
Sejauh pertanyaan kemiripan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba ketentuan yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian kata sandi khusus situs dari bagian kata sandi umum, saya pasti akan membuat bagian itu dari serangan kata sandi khusus disesuaikan kepadamu.
Misalnya, Anda memiliki sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item khusus situs di awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda dapat bertaruh jika saya hack facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang mungkin Anda gunakan.
Semuanya bermuara pada pola. Akankah penyerang melihat pola di bagian khusus situs dan bagian umum kata sandi Anda?
Jika Anda khawatir daftar sandi Anda saat ini tidak beragam dan cukup acak, kami sangat menyarankan Anda untuk memeriksa panduan keamanan sandi lengkap kami: Cara Memulihkan Setelah Kata Sandi Email Anda Disusupi . Dengan menyusun ulang daftar kata sandi Anda seolah-olah induk dari semua kata sandi, kata sandi email Anda, telah disusupi, sangat mudah untuk meningkatkan kecepatan portofolio kata sandi Anda dengan cepat.
Punya sesuatu untuk ditambahkan ke penjelasannya? Suarakan di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi? Lihat utas diskusi lengkap di sini .
