If-Koubou

Ja viena no manām parolēm tiek apdraudēta, vai pārējās pārējās paroles ir pārāk kompromitētas?

Ja viena no manām parolēm tiek apdraudēta, vai pārējās pārējās paroles ir pārāk kompromitētas? (Kā)

Ja kāda no jūsu parolēm ir apdraudēta, vai tas automātiski nozīmē, ka tiek apdraudētas arī citas jūsu paroles? Lai gan spēlē ir diezgan daudz mainīgo lielumu, jautājums ir interesants izskats par to, kas padara paroli neaizsargātu un ko jūs varat darīt, lai aizsargātu sevi.

Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, Q & A tīmekļa vietņu kopienas diskusiju grupu.

Jautājums

SuperUser lasītājs Michael McGowan ir ziņkārīgs, cik lielā mērā sasniedz vienu paroles pārrāvuma ietekmi; viņš raksta:

Pieņemsim, ka lietotājs vietnē B izmanto drošu paroli un citu, bet līdzīgu drošu paroli vietnē B. Varbūt kaut kas līdzīgsmySecure12 # PasswordA uz vietas A unmySecure12 # PasswordB vietā B (jēdziet izmantot citu "līdzības" definīciju, ja tas ir jēga).

Pieņemsim, ka vietnes A parole kaut kā tiek apdraudēta ... varbūt vietnes A ļaunprātīgs darbinieks vai drošības noplūde. Vai tas nozīmē, ka arī vietnes B parole ir tikusi apdraudēta, vai šajā kontekstā nav tādas lietas kā "paroli līdzība"? Vai ir kāda atšķirība, vai kompromiss vietnē A bija vienkārša teksta noplūde vai izmainīta versija?

Vai Michael jāuztraucas, ja viņa hipotētiskā situācija nāks?

Atbilde

SuperUser atbalstītāji palīdzēja noskaidrot jautājumu par Michael. Superuser palīdzētājs Queso raksta:

Vispirms atbildiet uz pēdējo daļu: Jā, tas būtu izšķirošs, ja atklātie dati būtu skaidra teksta vai maiņas. Ja esat mainījis vienu rakstzīmi, viss hash ir pavisam citāds. Vienīgais veids, kā uzbrucējs varētu uzzināt paroli, ir brutāls spēks, kas ir hash (nav neiespējami, jo īpaši, ja hash ir nesasalcināts. Skatiet varavīksnes tabulas).

Attiecībā uz līdzības jautājumu tas būtu atkarīgs no tā, ko uzbrucējs zina par tevi. Ja es saņemšu savu paroli vietnē A, un, ja es zinu, ka izmantojat noteiktus modeļus, lai izveidotu lietotājvārdus vai citus, es varētu izmēģināt tās pašas paroles jūsu izmantotajās vietnēs.

Vai arī iepriekš norādītajās paroled, ja es kā uzbrucējs redzu acīmredzamu modeli, kuru varu izmantot, lai no parastās porcijas atsevišķi no portāliem noteiktu paroles daļu nošķirtu, es noteikti pielāgosšu šo paroles uzbrukumu daļu tev.

Piemēram, teiksim, ka jums ir ļoti droša parole, piemēram, 58htg% HF! C. Lai izmantotu šo paroli dažādās vietnēs, jūs sākat pievienot objektam specifisku vietni, lai jums būtu tādas paroles kā: facebook58htg% HF! C, wellsfargo58htg% HF! C vai gmail58htg% HF! C, jūs varat bet, ja es banalizējiet savu facebook un saņemsiet facebook58htg% HF! c Es redzēšu šo modeli un izmantoju to citās vietās, ko es uzskatu, ka jūs varat to izmantot.

Tas viss ir atkarīgs no modeļiem. Vai uzbrucējs redzēs jūsu portāla portfeļa un paroles kopējās daļas paraugu?

Cits superuseris autors Michael Trausch paskaidro, kā lielākajā daļā gadījumu hipotētiskā situācija nav daudz iemeslu bažām:

Vispirms atbildiet uz pēdējo daļu: Jā, tas būtu izšķirošs, ja atklātie dati būtu skaidra teksta vai maiņas. Ja esat mainījis vienu rakstzīmi, viss hash ir pavisam citāds. Vienīgais veids, kā uzbrucējs varētu uzzināt paroli, ir brutāls spēks, kas ir hash (nav neiespējami, jo īpaši, ja hash ir nesasalcināts. Skatiet varavīksnes tabulas).

Attiecībā uz līdzības jautājumu tas būtu atkarīgs no tā, ko uzbrucējs zina par tevi. Ja es saņemšu savu paroli vietnē A, un, ja es zinu, ka izmantojat noteiktus modeļus, lai izveidotu lietotājvārdus vai citus, es varētu izmēģināt tās pašas paroles jūsu izmantotajās vietnēs.

Vai arī iepriekš norādītajās paroled, ja es kā uzbrucējs redzu acīmredzamu modeli, kuru varu izmantot, lai no parastās porcijas atsevišķi no portāliem noteiktu paroles daļu nošķirtu, es noteikti pielāgosšu šo paroles uzbrukumu daļu tev.

Piemēram, teiksim, ka jums ir ļoti droša parole, piemēram, 58htg% HF! C. Lai izmantotu šo paroli dažādās vietnēs, jūs sākat pievienot objektam specifisku vietni, lai jums būtu tādas paroles kā: facebook58htg% HF! C, wellsfargo58htg% HF! C vai gmail58htg% HF! C, jūs varat bet, ja es banalizējiet savu facebook un saņemsiet facebook58htg% HF! c Es redzēšu šo modeli un izmantoju to citās vietās, ko es uzskatu, ka jūs varat to izmantot.

Tas viss ir atkarīgs no modeļiem. Vai uzbrucējs redzēs jūsu portāla portfeļa un paroles kopējās daļas paraugu?

Ja jūs uztraucaties, ka pašreizējais paroļu saraksts nav daudzveidīgs un nejaušs, mēs ļoti iesakām izlasīt mūsu visaptverošo paroles drošības rokasgrāmatu: Kā atgūt jūsu e-pasta paroli. Pārstrādājot savus paroles sarakstus tā, it kā visu paroļu, e-pasta paroli, māte būtu apdraudēta, ir viegli ātri panākt, lai jūsu paroli būtu ātri.

Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.