หากรหัสผ่านของคุณถูกบุกรุกหมายความว่ารหัสผ่านอื่นของคุณถูกบุกรุกโดยอัตโนมัติด้วยหรือไม่? แม้ว่าจะมีตัวแปรไม่กี่ตัวในการเล่นคำถามก็คือรูปลักษณ์ที่น่าสนใจว่าอะไรทำให้รหัสผ่านมีช่องโหว่และคุณสามารถทำอะไรได้บ้างเพื่อป้องกันตัว
เซสชันคำถามและคำตอบของวันนี้มาถึงเราโดยได้รับความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Stack Exchange ซึ่งเป็นการรวมกลุ่มเว็บไซต์ถาม & ตอบในชุมชน
คำถาม
ผู้อ่าน SuperUser Michael McGowan อยากรู้ว่าผลกระทบของการละเมิดรหัสผ่านเดียวนั้นไปได้ไกลแค่ไหน เขาเขียน:
สมมติว่าผู้ใช้ใช้รหัสผ่านที่ปลอดภัยที่ไซต์ A และรหัสผ่านที่ปลอดภัยที่แตกต่างกัน แต่คล้ายกันที่ไซต์ B
mySecure12 # รหัสผ่านบนไซต์ A และmySecure12 # รหัสผ่าน Bบนไซต์ B (อย่าลังเลที่จะใช้คำจำกัดความอื่นของ "ความคล้ายคลึงกัน" หากเหมาะสม)สมมติว่ารหัสผ่านสำหรับไซต์ A ถูกบุกรุกอย่างใด ... อาจเป็นพนักงานที่เป็นอันตรายของไซต์ A หรือการรั่วไหลของความปลอดภัย นี่หมายความว่ารหัสผ่านของไซต์ B ถูกบุกรุกอย่างมีประสิทธิภาพเช่นกันหรือไม่มี“ ความคล้ายคลึงกันของรหัสผ่าน” ในบริบทนี้ มันสร้างความแตกต่างหรือไม่ว่าการประนีประนอมบนไซต์ A เป็นการรั่วไหลของข้อความธรรมดาหรือเวอร์ชันที่แฮช
ไมเคิลควรกังวลไหมหากสถานการณ์สมมุติของเขากำลังจะผ่านพ้นไป?
คำตอบ
ผู้ร่วมให้ข้อมูล SuperUser ช่วยเคลียร์ปัญหาให้ Michael Queso ผู้สนับสนุน Superuser เขียน:
ในการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นถูกลบล้างข้อความเทียบกับแฮช ในแฮชหากคุณเปลี่ยนอักขระตัวเดียวแฮชทั้งหมดจะแตกต่างกันอย่างสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับแฮชอย่างดุร้าย (ไม่ใช่เรื่องที่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากแฮชนั้นไม่ได้ใส่เกลือ โต๊ะสายรุ้ง ).
สำหรับคำถามเกี่ยวกับความคล้ายคลึงกันนั้นจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ หากฉันได้รับรหัสผ่านของคุณในไซต์ A และหากฉันรู้ว่าคุณใช้รูปแบบบางอย่างในการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้หลักการเดียวกันนี้กับรหัสผ่านบนไซต์ที่คุณใช้
อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นหากฉันในฐานะผู้โจมตีเห็นรูปแบบที่ชัดเจนซึ่งฉันสามารถใช้เพื่อแยกส่วนรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้ส่วนนั้นของการโจมตีด้วยรหัสผ่านที่กำหนดเองได้รับการปรับแต่งอย่างแน่นอน ถึงคุณ.
ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยสูงเช่น 58htg% HF! c หากต้องการใช้รหัสผ่านนี้ในไซต์ต่างๆคุณต้องเพิ่มรายการเฉพาะไซต์ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้ถ้าฉัน แฮ็ค facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นฉันพบว่าคุณอาจใช้
ทุกอย่างมาจากรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่
Michael Trausch ผู้สนับสนุน Superuser อีกคนอธิบายว่าในสถานการณ์ส่วนใหญ่สถานการณ์สมมุติไม่ได้ทำให้เกิดความกังวลมากนัก:
ในการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นถูกลบล้างข้อความเทียบกับแฮช ในแฮชหากคุณเปลี่ยนอักขระตัวเดียวแฮชทั้งหมดจะแตกต่างกันอย่างสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับแฮชอย่างดุร้าย (ไม่ใช่เรื่องที่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากแฮชนั้นไม่ได้ใส่เกลือ โต๊ะสายรุ้ง ).
สำหรับคำถามเกี่ยวกับความคล้ายคลึงกันนั้นจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ หากฉันได้รับรหัสผ่านของคุณในไซต์ A และหากฉันรู้ว่าคุณใช้รูปแบบบางอย่างในการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้หลักการเดียวกันนี้กับรหัสผ่านบนไซต์ที่คุณใช้
อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นหากฉันในฐานะผู้โจมตีเห็นรูปแบบที่ชัดเจนซึ่งฉันสามารถใช้เพื่อแยกส่วนรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้ส่วนนั้นของการโจมตีด้วยรหัสผ่านที่กำหนดเองได้รับการปรับแต่งอย่างแน่นอน ถึงคุณ.
ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยสูงเช่น 58htg% HF! c หากต้องการใช้รหัสผ่านนี้ในไซต์ต่างๆคุณต้องเพิ่มรายการเฉพาะไซต์ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้ถ้าฉัน แฮ็ค facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นฉันพบว่าคุณอาจใช้
ทุกอย่างมาจากรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่
หากคุณกังวลว่ารายการรหัสผ่านปัจจุบันของคุณมีความหลากหลายและสุ่มไม่เพียงพอเราขอแนะนำให้อ่านคู่มือการรักษาความปลอดภัยรหัสผ่านที่ครอบคลุมของเรา: วิธีการกู้คืนหลังจากรหัสผ่านอีเมลของคุณถูกบุกรุก . ด้วยการทำรายการรหัสผ่านของคุณใหม่ราวกับว่าแม่ของรหัสผ่านทั้งหมดรหัสผ่านอีเมลของคุณถูกบุกรุกทำให้ง่ายต่อการเพิ่มพอร์ตโฟลิโอรหัสผ่านของคุณอย่างรวดเร็ว
มีสิ่งที่จะเพิ่มคำอธิบาย? ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange ที่เชี่ยวชาญด้านเทคโนโลยีคนอื่น ๆ หรือไม่? ดูกระทู้สนทนาฉบับเต็มได้ที่นี่ .
