Hvis et av passordene dine er kompromittert, betyr det automatisk at de andre passordene dine også er kompromittert? Selv om det er ganske mange variabler som spilles, er spørsmålet et interessant blikk på hva som gjør et passord sårbart og hva du kan gjøre for å beskytte deg selv.
Dagens spørsmål og svar-økt kommer til oss med tillatelse fra SuperUser - en underavdeling av Stack Exchange, en grupperingsgruppering av spørsmål og svar-nettsteder.
Spørsmålet
SuperUser-leser Michael McGowan er nysgjerrig på hvor langt virkningen av et enkelt passordbrudd er; han skriver:
Anta at en bruker bruker et sikkert passord på sted A og et annet, men lignende sikkert passord på sted B. Kanskje noe sånt
mySecure12 # Passord A.på side A ogmySecure12 # PassordBpå side B (bruk gjerne en annen definisjon av "likhet" hvis det er fornuftig).Anta da at passordet for side A på en eller annen måte er kompromittert ... kanskje en ondsinnet ansatt på nettsted A eller en sikkerhetslekkasje. Betyr dette at passordet til nettsted B også har blitt kompromittert, eller er det ikke noe som heter "passordlikhet" i denne sammenhengen? Gjør det noen forskjell om kompromisset på side A var en ren tekstlekkasje eller en hashversjon?
Bør Michael bekymre seg hvis hans hypotetiske situasjon oppnås?
Svaret
SuperUser-bidragsytere bidro til å oppklare problemet for Michael. Superbruker-bidragsyter Queso skriver:
For å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis dataene som ble avslørt var klartekst kontra hash. Hvis du endrer et enkelt tegn i en hash, er hele hasjen helt annerledes. Den eneste måten en angriper ville vite passordet på er å tøffe hasjen (ikke umulig, spesielt hvis hasjen er usaltet. Se regnbuebord ).
Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettsted A, og hvis jeg vet at du bruker visse mønstre for å lage brukernavn eller slikt, kan jeg prøve de samme konvensjonene om passord på nettsteder du bruker.
Alternativt, i passordene du gir ovenfor, hvis jeg som angriper ser et tydelig mønster som jeg kan bruke til å skille en stedsspesifikk del av passordet fra den generelle passorddelen, vil jeg definitivt gjøre den delen av et tilpasset passordangrep skreddersydd til deg.
Si som eksempel at du har et supersikkert passord som 58htg% HF! C. For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedsspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse hvis jeg hack din facebook og få facebook58htg% HF! c Jeg kommer til å se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.
Det hele kommer ned på mønstre. Vil angriperen se et mønster i den stedsspesifikke delen og den generelle delen av passordet ditt?
En annen Superuser-bidragsyter, Michael Trausch, forklarer hvordan den hypotetiske situasjonen i de fleste situasjoner ikke er særlig grunn til bekymring:
For å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis dataene som ble avslørt var klartekst kontra hash. Hvis du endrer et enkelt tegn i en hash, er hele hasjen helt annerledes. Den eneste måten en angriper ville vite passordet på er å tøffe hasjen (ikke umulig, spesielt hvis hasjen er usaltet. Se regnbuebord ).
Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettsted A, og hvis jeg vet at du bruker visse mønstre for å lage brukernavn eller slikt, kan jeg prøve de samme konvensjonene om passord på nettsteder du bruker.
Alternativt, i passordene du gir ovenfor, hvis jeg som angriper ser et tydelig mønster som jeg kan bruke til å skille en stedsspesifikk del av passordet fra den generelle passorddelen, vil jeg definitivt gjøre den delen av et tilpasset passordangrep skreddersydd til deg.
Si som eksempel at du har et supersikkert passord som 58htg% HF! C. For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedsspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse hvis jeg hack din facebook og få facebook58htg% HF! c Jeg kommer til å se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.
Det hele kommer ned på mønstre. Vil angriperen se et mønster i den stedsspesifikke delen og den generelle delen av passordet ditt?
Hvis du er bekymret for at den nåværende passordlisten ikke er mangfoldig og tilfeldig nok, anbefaler vi på det sterkeste å sjekke ut den omfattende sikkerhetsveiledningen for passord: Slik gjenoppretter du når e-postpassordet ditt er kompromittert . Ved å omarbeide passordlistene dine som om moren til alle passordene, e-postpassordet ditt, er blitt kompromittert, er det enkelt å få raskt passordporteføljen din.
Har du noe å legge til forklaringen? Hør av i kommentarene. Vil du lese flere svar fra andre teknologikyndige Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her .
