Jeśli ktoś włamie się na jedno z haseł, czy to automatycznie oznacza, że przejęto również inne hasła? Chociaż w grę wchodzi sporo zmiennych, pytanie jest interesującym spojrzeniem na to, co sprawia, że hasło jest podatne na ataki i co można zrobić, aby się chronić.
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn z pytaniami i odpowiedziami, prowadzonej przez społeczność.
Pytanie
Czytelnik SuperUser Michael McGowan jest ciekawy, jak daleko idące są skutki naruszenia pojedynczego hasła; on pisze:
Załóżmy, że użytkownik używa bezpiecznego hasła w witrynie A i innego, ale podobnego bezpiecznego hasła w witrynie B. Może coś w rodzaju
mySecure12 # Hasło A.na terenie A imySecure12 # Hasło B.w witrynie B (możesz użyć innej definicji „podobieństwa”, jeśli ma to sens).Załóżmy zatem, że hasło do witryny A zostało w jakiś sposób naruszone… może złośliwy pracownik witryny A lub wyciek zabezpieczeń. Czy to oznacza, że hasło do witryny B również zostało skutecznie przejęte, czy też nie ma czegoś takiego jak „podobieństwo haseł” w tym kontekście? Czy ma znaczenie, czy kompromitacja w witrynie A polegała na przecieku zwykłego tekstu czy zahaszowaniu wersji?
Czy Michael powinien się martwić, jeśli jego hipotetyczna sytuacja się spełni?
Odpowiedź
Współautorzy SuperUser pomogli rozwiązać problem Michaela. Współautor Superuser Queso pisze:
Odpowiadając najpierw na ostatnią część: Tak, miałoby znaczenie, gdyby ujawnione dane były jawnym tekstem, a nie zaszyfrowanym. W skrócie, jeśli zmienisz jeden znak, cały hash będzie zupełnie inny. Jedynym sposobem, w jaki osoba atakująca pozna hasło, jest brutalne wymuszenie skrótu (nie jest to niemożliwe, zwłaszcza jeśli hash jest niesolony. Zobacz tęczowe stoły ).
Jeśli chodzi o kwestię podobieństwa, będzie to zależeć od tego, co wie o tobie atakujący. Jeśli dostanę Twoje hasło w witrynie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników itp., Mogę wypróbować te same konwencje dla haseł w witrynach, z których korzystasz.
Alternatywnie, jeśli w hasłach, które podasz powyżej, jako osoba atakująca widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła specyficznej dla witryny od części hasła ogólnego, zdecydowanie dostosuję tę część niestandardowego ataku na hasło Tobie.
Na przykład załóżmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby używać tego hasła w różnych witrynach, dodajesz na początku pozycję specyficzną dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz się założyć, jeśli ja zhakuj swojego facebooka i zdobądź facebook58htg% HF! c Zobaczę ten wzorzec i wykorzystam go na innych stronach, które uznam, że możesz użyć.
Wszystko sprowadza się do wzorów. Czy atakujący zobaczy wzorzec w części specyficznej dla witryny i części ogólnej hasła?
Inny współautor Superuser, Michael Trausch, wyjaśnia, że w większości sytuacji hipotetyczna sytuacja nie jest powodem do niepokoju:
Odpowiadając najpierw na ostatnią część: Tak, miałoby znaczenie, gdyby ujawnione dane były jawnym tekstem, a nie zaszyfrowanym. W skrócie, jeśli zmienisz jeden znak, cały hash będzie zupełnie inny. Jedynym sposobem, w jaki osoba atakująca pozna hasło, jest brutalne wymuszenie skrótu (nie jest to niemożliwe, zwłaszcza jeśli hash jest niesolony. Zobacz tęczowe stoły ).
Jeśli chodzi o kwestię podobieństwa, będzie to zależeć od tego, co wie o tobie atakujący. Jeśli dostanę Twoje hasło w witrynie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników itp., Mogę wypróbować te same konwencje dla haseł w witrynach, z których korzystasz.
Alternatywnie, jeśli w hasłach, które podasz powyżej, jako osoba atakująca widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła specyficznej dla witryny od części hasła ogólnego, zdecydowanie dostosuję tę część niestandardowego ataku na hasło Tobie.
Na przykład załóżmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby używać tego hasła w różnych witrynach, dodajesz na początku pozycję specyficzną dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz się założyć, jeśli ja zhakuj swojego facebooka i zdobądź facebook58htg% HF! c Zobaczę ten wzorzec i wykorzystam go na innych stronach, które uznam, że możesz użyć.
Wszystko sprowadza się do wzorów. Czy atakujący zobaczy wzorzec w części specyficznej dla witryny i części ogólnej hasła?
Jeśli obawiasz się, że aktualna lista haseł nie jest wystarczająco zróżnicowana i przypadkowa, zdecydowanie zalecamy zapoznanie się z naszym obszernym przewodnikiem po zabezpieczeniach haseł: Jak odzyskać po naruszeniu hasła e-mail . Dzięki przeróbce list haseł w taki sposób, jakby ktoś włamał się na matkę wszystkich haseł, czyli hasło do Twojego konta e-mail, łatwo jest szybko zaktualizować swoje portfolio.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
