Se una delle tue password è compromessa, significa automaticamente che anche le altre tue password sono state compromesse? Sebbene ci siano parecchie variabili in gioco, la domanda è uno sguardo interessante su cosa rende vulnerabile una password e cosa puoi fare per proteggerti.
La sessione di domande e risposte di oggi ci arriva per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti web di domande e risposte guidato dalla comunità.
La domanda
Il lettore di SuperUser Michael McGowan è curioso di sapere quanto sia lontano l'impatto di una singola violazione della password; lui scrive:
Supponiamo che un utente utilizzi una password sicura nel sito A e una password sicura diversa ma simile nel sito B. Forse qualcosa di simile
mySecure12 # PasswordAsul sito A emySecure12 # PasswordBsul sito B (sentiti libero di usare una definizione diversa di "somiglianza" se ha senso).Supponiamo quindi che la password per il sito A sia in qualche modo compromessa ... forse un dipendente malintenzionato del sito A o una perdita di sicurezza. Ciò significa che anche la password del sito B è stata effettivamente compromessa o non esiste una cosa come la "somiglianza della password" in questo contesto? Fa differenza se il compromesso sul sito A era una perdita di testo normale o una versione con hash?
Michael dovrebbe preoccuparsi se la sua situazione ipotetica dovesse avverarsi?
La risposta
I contributori di SuperUser hanno contribuito a chiarire il problema per Michael. Il collaboratore Superuser Queso scrive:
Per rispondere prima all'ultima parte: Sì, farebbe la differenza se i dati divulgati fossero in chiaro rispetto a quelli con hash. In un hash, se modifichi un singolo carattere, l'intero hash è completamente diverso. L'unico modo in cui un utente malintenzionato potrebbe conoscere la password è forzare l'hash (non impossibile, soprattutto se l'hash non è salato. Vedere tavoli arcobaleno ).
Per quanto riguarda la questione della somiglianza, dipenderà da ciò che l'attaccante sa di te. Se ottengo la tua password sul sito A e se so che utilizzi determinati schemi per creare nomi utente o simili, potrei provare le stesse convenzioni sulle password sui siti che utilizzi.
In alternativa, nelle password fornite sopra, se come utente malintenzionato vedo uno schema ovvio che posso utilizzare per separare una parte specifica del sito della password dalla parte della password generica, renderò sicuramente quella parte di un attacco personalizzato con password su misura a te.
Ad esempio, supponi di avere una password super sicura come 58htg% HF! C. Per utilizzare questa password su siti diversi, aggiungi un elemento specifico del sito all'inizio, in modo da avere password come: facebook58htg% HF! C, wellsfargo58htg% HF! C o gmail58htg% HF! C, puoi scommettere se I hackerare il tuo facebook e ottenere facebook58htg% HF! c Vado a vedere quel pattern e lo userò su altri siti che trovo che potresti usare.
Tutto si riduce a schemi. L'aggressore vedrà uno schema nella parte specifica del sito e nella parte generica della tua password?
Un altro collaboratore di Superuser, Michael Trausch, spiega come nella maggior parte delle situazioni la situazione ipotetica non sia motivo di preoccupazione:
Per rispondere prima all'ultima parte: Sì, farebbe la differenza se i dati divulgati fossero in chiaro rispetto a quelli con hash. In un hash, se modifichi un singolo carattere, l'intero hash è completamente diverso. L'unico modo in cui un utente malintenzionato potrebbe conoscere la password è forzare l'hash (non impossibile, soprattutto se l'hash non è salato. Vedere tavoli arcobaleno ).
Per quanto riguarda la questione della somiglianza, dipenderà da ciò che l'attaccante sa di te. Se ottengo la tua password sul sito A e se so che utilizzi determinati schemi per creare nomi utente o simili, potrei provare le stesse convenzioni sulle password sui siti che utilizzi.
In alternativa, nelle password fornite sopra, se come utente malintenzionato vedo uno schema ovvio che posso utilizzare per separare una parte specifica del sito della password dalla parte della password generica, renderò sicuramente quella parte di un attacco personalizzato con password su misura a te.
Ad esempio, supponi di avere una password super sicura come 58htg% HF! C. Per utilizzare questa password su siti diversi, aggiungi un elemento specifico del sito all'inizio, in modo da avere password come: facebook58htg% HF! C, wellsfargo58htg% HF! C o gmail58htg% HF! C, puoi scommettere se I hackerare il tuo facebook e ottenere facebook58htg% HF! c Vado a vedere quel pattern e lo userò su altri siti che trovo che potresti usare.
Tutto si riduce a schemi. L'aggressore vedrà uno schema nella parte specifica del sito e nella parte generica della tua password?
Se sei preoccupato che il tuo attuale elenco di password non sia abbastanza vario e casuale, ti consigliamo vivamente di consultare la nostra guida completa alla sicurezza delle password: Come recuperare dopo che la tua password e-mail è stata compromessa . Rielaborando i tuoi elenchi di password come se la madre di tutte le password, la tua password email, fosse stata compromessa, è facile portare rapidamente il tuo portafoglio di password alla velocità.
Hai qualcosa da aggiungere alla spiegazione? Suona nei commenti. Vuoi leggere altre risposte da altri utenti esperti di tecnologia Stack Exchange? Dai un'occhiata al thread di discussione completo qui .
