Nếu một trong các mật khẩu của bạn bị xâm phạm, điều đó có tự động có nghĩa là các mật khẩu khác của bạn cũng bị xâm phạm không? Mặc dù có khá nhiều biến số đang diễn ra, nhưng câu hỏi là một cái nhìn thú vị về điều gì khiến mật khẩu dễ bị tấn công và bạn có thể làm gì để bảo vệ chính mình.
Phiên Hỏi & Đáp hôm nay đến với chúng tôi với sự hỗ trợ của SuperUser — một phân nhánh của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng thúc đẩy.
Câu hỏi
Độc giả của SuperUser, Michael McGowan, tò mò mức độ ảnh hưởng của một lần vi phạm mật khẩu là bao xa; anh ấy viết:
Giả sử một người dùng sử dụng mật khẩu an toàn tại trang web A và một mật khẩu bảo mật khác nhưng tương tự tại trang web B. Có thể giống như
mySecure12 # Mật khẩuAtrên trang web A vàmySecure12 # Mật khẩuBtrên trang web B (vui lòng sử dụng một định nghĩa khác về “sự giống nhau” nếu nó có ý nghĩa).Giả sử sau đó, mật khẩu của trang web A bị xâm phạm bằng cách nào đó… có thể là một nhân viên độc hại của trang web A hoặc một lỗ hổng bảo mật. Điều này có nghĩa là mật khẩu của trang web B cũng đã bị xâm phạm một cách hiệu quả hay không có cái gọi là "mật khẩu tương tự" trong ngữ cảnh này? Nó có tạo ra bất kỳ sự khác biệt nào cho dù sự xâm nhập trên trang web A là một rò rỉ văn bản thuần túy hay một phiên bản băm?
Michael có nên lo lắng nếu tình huống giả định của mình xảy ra?
Câu trả lời
Các cộng tác viên của SuperUser đã giúp làm rõ vấn đề cho Michael. Cộng tác viên siêu người dùng Queso viết:
Trước tiên, để trả lời phần cuối cùng: Có, sẽ tạo ra sự khác biệt nếu dữ liệu được tiết lộ là văn bản rõ ràng so với băm. Trong một hàm băm, nếu bạn thay đổi một ký tự, toàn bộ hàm băm sẽ hoàn toàn khác. Cách duy nhất mà kẻ tấn công có thể biết mật khẩu là cưỡng bức băm (không phải là không thể, đặc biệt là nếu băm không có muối. Xem bảng cầu vồng ).
Đối với câu hỏi tương tự, nó sẽ phụ thuộc vào những gì kẻ tấn công biết về bạn. Nếu tôi nhận được mật khẩu của bạn trên trang web A và nếu tôi biết bạn sử dụng một số mẫu nhất định để tạo tên người dùng hoặc tương tự, tôi có thể thử những quy ước tương tự đối với mật khẩu trên các trang web bạn sử dụng.
Ngoài ra, trong các mật khẩu bạn cung cấp ở trên, nếu tôi với tư cách là kẻ tấn công thấy một mẫu rõ ràng mà tôi có thể sử dụng để tách một phần mật khẩu dành riêng cho trang web khỏi phần mật khẩu chung, tôi chắc chắn sẽ làm cho phần đó của cuộc tấn công mật khẩu tùy chỉnh được điều chỉnh cho bạn.
Ví dụ: giả sử bạn có mật khẩu siêu an toàn như 58htg% HF! C. Để sử dụng mật khẩu này trên các trang web khác nhau, bạn thêm một mục dành riêng cho trang web vào đầu, để bạn có các mật khẩu như: facebook58htg% HF! C, wellfargo58htg% HF! C, hoặc gmail58htg% HF! C, bạn có thể đặt cược nếu tôi hack facebook của bạn và lấy facebook58htg% HF! c Tôi sẽ xem mẫu đó và sử dụng nó trên các trang khác mà tôi thấy rằng bạn có thể sử dụng.
Tất cả đều đi vào khuôn mẫu. Liệu kẻ tấn công có thấy một mẫu trong phần dành riêng cho trang web và phần chung của mật khẩu của bạn không?
Một cộng tác viên Superuser khác, Michael Trausch, giải thích cách trong hầu hết các tình huống, tình huống giả định không gây nhiều lo lắng:
Trước tiên, để trả lời phần cuối cùng: Có, sẽ tạo ra sự khác biệt nếu dữ liệu được tiết lộ là văn bản rõ ràng so với băm. Trong một hàm băm, nếu bạn thay đổi một ký tự, toàn bộ hàm băm sẽ hoàn toàn khác. Cách duy nhất mà kẻ tấn công có thể biết mật khẩu là cưỡng bức băm (không phải là không thể, đặc biệt là nếu băm không có muối. Xem bảng cầu vồng ).
Đối với câu hỏi tương tự, nó sẽ phụ thuộc vào những gì kẻ tấn công biết về bạn. Nếu tôi nhận được mật khẩu của bạn trên trang web A và nếu tôi biết bạn sử dụng một số mẫu nhất định để tạo tên người dùng hoặc tương tự, tôi có thể thử những quy ước tương tự đối với mật khẩu trên các trang web bạn sử dụng.
Ngoài ra, trong các mật khẩu bạn cung cấp ở trên, nếu tôi với tư cách là kẻ tấn công thấy một mẫu rõ ràng mà tôi có thể sử dụng để tách một phần mật khẩu dành riêng cho trang web khỏi phần mật khẩu chung, tôi chắc chắn sẽ làm cho phần đó của cuộc tấn công mật khẩu tùy chỉnh được điều chỉnh cho bạn.
Ví dụ: giả sử bạn có mật khẩu siêu an toàn như 58htg% HF! C. Để sử dụng mật khẩu này trên các trang web khác nhau, bạn thêm một mục dành riêng cho trang web vào đầu, để bạn có các mật khẩu như: facebook58htg% HF! C, wellfargo58htg% HF! C, hoặc gmail58htg% HF! C, bạn có thể đặt cược nếu tôi hack facebook của bạn và lấy facebook58htg% HF! c Tôi sẽ xem mẫu đó và sử dụng nó trên các trang khác mà tôi thấy rằng bạn có thể sử dụng.
Tất cả đều đi vào khuôn mẫu. Liệu kẻ tấn công có thấy một mẫu trong phần dành riêng cho trang web và phần chung của mật khẩu của bạn không?
Nếu bạn lo ngại rằng danh sách mật khẩu hiện tại của bạn không đủ đa dạng và ngẫu nhiên, chúng tôi thực sự khuyên bạn nên xem hướng dẫn bảo mật mật khẩu toàn diện của chúng tôi: Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm . Bằng cách làm lại danh sách mật khẩu của bạn như thể mẹ của tất cả các mật khẩu, mật khẩu email của bạn, đã bị xâm phạm, thật dễ dàng để nhanh chóng nâng cấp danh mục mật khẩu của bạn.
Có điều gì đó để thêm vào lời giải thích? Tắt âm thanh trong các bình luận. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra toàn bộ chuỗi thảo luận tại đây .
