Hemsida » hur » Om ett av mina lösenord är kompromissat är mina andra lösenord kompromisserade för?

    Om ett av mina lösenord är kompromissat är mina andra lösenord kompromisserade för?

    Om ett av dina lösenord äventyras, betyder det automatiskt att dina andra lösenord också äventyras? Även om det finns en hel del variabler på spel, är frågan ett intressant blick på vad som gör ett lösenord sårbart och vad du kan göra för att skydda dig själv.

    Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-drive-gruppering av Q & A-webbplatser.

    Frågan

    SuperUser-läsaren Michael McGowan är nyfiken hur långt nå effekten av ett enda lösenordsbrott är; han skriver:

    Antag att en användare använder ett säkert lösenord på plats A och ett annat men lika säkert lösenord på plats B. Kanske något som mySecure12 # PasswordA på plats A och mySecure12 # PasswordB på plats B (gärna använda en annan definition av "likhet" om det är vettigt).

    Antag då att lösenordet för webbplats A på något sätt äventyras ... kanske en skadlig anställd på webbplats A eller en säkerhetsläcka. Betecknar detta att webbplatsens B-lösenord verkligen har äventyras eller finns det inte något sådant som "lösenordslikhet" i det här sammanhanget? Går det någon skillnad om kompromissen på plats A var en läcker text eller en hashed-version?

    Ska Michael bekymra sig om hans hypotetiska situation kommer att ske?

    Svaret

    SuperUser-bidragsgivare hjälpte till att rensa problemet för Michael. Superbrukerbidrag Queso skriver:

    För att svara på den sista delen först: Ja, det skulle göra skillnad om de visade uppgifterna var cleartext vs hashed. I en hash, om du ändrar en enda karaktär, är hela hasen helt annorlunda. Det enda sättet en angripare skulle känna till lösenordet är att brute tvinga hasen (inte omöjligt, särskilt om hasen är osaltad. Se regnbordsbord).

    När det gäller likhetsfrågan beror det på vad angriparen vet om dig. Om jag får ditt lösenord på webbplats A och om jag vet att du använder vissa mönster för att skapa användarnamn eller sådant, kan jag prova samma konventioner på lösenord på webbplatser du använder.

    Alternativt kan jag i de lösenord som du anger ovan, om jag som en angripare ser ett uppenbart mönster som jag kan använda för att skilja en platsspecifik del av lösenordet från den generiska lösenordsdelen, kommer jag definitivt att göra den delen av en anpassad lösenordsattack skräddarsydd till dig.

    Till exempel, säg att du har ett super säkert lösenord som 58htg% HF! C. För att använda detta lösenord på olika webbplatser lägger du till ett sajtspecifikt objekt i början, så att du har lösenord som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satsa om jag hacka din facebook och få facebook58htg% HF! c Jag kommer att se det mönstret och använda det på andra webbplatser jag tycker att du kan använda.

    Allt kommer ner till mönster. Kommer angriparen att se ett mönster i den sajtspecifika delen och generiska delen av ditt lösenord?

    En annan Superuser-bidragsgivare, Michael Trausch, förklarar hur den hypotetiska situationen i de flesta situationer inte är mycket oroande:

    För att svara på den sista delen först: Ja, det skulle göra skillnad om de visade uppgifterna var cleartext vs hashed. I en hash, om du ändrar en enda karaktär, är hela hasen helt annorlunda. Det enda sättet en angripare skulle känna till lösenordet är att brute tvinga hasen (inte omöjligt, särskilt om hasen är osaltad. Se regnbordsbord).

    När det gäller likhetsfrågan beror det på vad angriparen vet om dig. Om jag får ditt lösenord på webbplats A och om jag vet att du använder vissa mönster för att skapa användarnamn eller sådant, kan jag prova samma konventioner på lösenord på webbplatser du använder.

    Alternativt kan jag i de lösenord som du anger ovan, om jag som en angripare ser ett uppenbart mönster som jag kan använda för att skilja en platsspecifik del av lösenordet från den generiska lösenordsdelen, kommer jag definitivt att göra den delen av en anpassad lösenordsattack skräddarsydd till dig.

    Till exempel, säg att du har ett super säkert lösenord som 58htg% HF! C. För att använda detta lösenord på olika webbplatser lägger du till ett sajtspecifikt objekt i början, så att du har lösenord som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satsa om jag hacka din facebook och få facebook58htg% HF! c Jag kommer att se det mönstret och använda det på andra webbplatser jag tycker att du kan använda.

    Allt kommer ner till mönster. Kommer angriparen att se ett mönster i den sajtspecifika delen och generiska delen av ditt lösenord?

    Om du är oroad över att din nuvarande lösenordslista inte är olik och slumpmässig nog, rekommenderar vi starkt att du läser vår omfattande säkerhetsguide för säkerhet: Hur återställs efter att ditt lösenord för e-post är kompromissat. Genom att omarbeta dina lösenordslistor som om moderen till alla lösenord, ditt lösenord för e-post, har äventyras, är det enkelt att snabbt ta din lösenordsportfölj upp.

    Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.

    Om du inte har försökt ett mekaniskt tangentbord ändå saknas du
    Om du bor i EU har du förmodligen en bättre gadgetgaranti
    Om Game of Thrones -tecken var din designklienter
    Nästa artikel
    Om du blockerar alla inkommande anslutningar, hur kan du fortfarande använda Internet?
    Föregående artikel
    Om jag köper en dator med Windows 8 och Secure Boot kan jag fortfarande installera Linux?