Početna » kako da » Ako je jedna od mojih lozinki ugrožena, jesu li moje druge lozinke također kompromitirane?

    Ako je jedna od mojih lozinki ugrožena, jesu li moje druge lozinke također kompromitirane?

    Ako je jedna od vaših zaporki ugrožena, znači li to automatski da su i druge lozinke ugrožene? Iako je u igri dosta varijabli, pitanje je zanimljiv pogled na ono što čini lozinkom ranjivu i što možete učiniti da se zaštitite.

    Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupne grupacije web-lokacija s pitanjima i odgovorima..

    Pitanje

    Čitač SuperUser Michael McGowan znatiželjan je koliko je dalekosežan utjecaj jednog kršenja lozinke; piše:

    Pretpostavimo da korisnik koristi sigurnu lozinku na web-mjestu A i drugačiju, ali sličnu, sigurnu zaporku na mjestu B. Možda nešto slično mySecure12 # PasswordA na licu mjesta A i mySecure12 # PasswordB na web-lokaciji B (slobodno upotrijebite drugu definiciju "sličnosti" ako ima smisla).

    Pretpostavimo onda da je lozinka za web-lokaciju na neki način ugrožena ... možda zlonamjerni zaposlenik stranice A ili sigurnosno curenje. Znači li to da je i lozinka web-mjesta B kompromitirana, ili u tom kontekstu ne postoji sličnost s lozinkom? Je li svejedno je li kompromis na web-lokaciji A bio curenje u običnom tekstu ili raspršena verzija?

    Treba li se Michael brinuti ako mu se dogodi njegova hipotetička situacija?

    Odgovor

    Suradnici SuperUser-a pomogli su razjasniti problem za Michaela. Doprinositelj superkorisnika Queso piše:

    Da bismo odgovorili na posljednji dio: Da, bilo bi važno ako bi podaci koji su objavljeni bili jasni u odnosu na raspršivanje. U hash-u, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji bi napadač znao da je lozinka za brutalnost je hash (nije nemoguće, pogotovo ako je hash nepodoban. Vidi tablice rainbow).

    Što se tiče pitanja sličnosti, to će ovisiti o tome što napadač zna o vama. Ako dobijem zaporku na web-lokaciji A i ako znam da koristite određene obrasce za stvaranje korisničkih imena ili slično, mogu isprobati te iste konvencije o zaporkama na web-lokacijama koje upotrebljavate.

    Alternativno, u zaporkama koje ste dali gore, ako kao napadač vidim očigledan uzorak koji mogu koristiti za odvajanje dijela zaporke specifičnog za web-lokaciju od dijela generičke zaporke, svakako ću napraviti taj dio prilagođenog napada lozinkom tebi.

    Primjerice, recimo da imate super sigurnu zaporku poput 58htg% HF! C. Da biste tu zaporku koristili na različitim web-lokacijama, dodajte stavku specifičnu za web-lokaciju na početak, tako da imate lozinke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako hack your facebook i dobiti facebook58htg% HF! c ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.

    Sve se svodi na obrasce. Hoće li napadač vidjeti uzorak u dijelu koji se odnosi na web-lokaciju i generički dio zaporke?

    Drugi suradnik Superuser, Michael Trausch, objašnjava kako u većini situacija hipotetska situacija nije razlog za zabrinutost:

    Da bismo odgovorili na posljednji dio: Da, bilo bi važno ako bi podaci koji su objavljeni bili jasni u odnosu na raspršivanje. U hash-u, ako promijenite jedan znak, cijeli hash je potpuno drugačiji. Jedini način na koji bi napadač znao da je lozinka za brutalnost je hash (nije nemoguće, pogotovo ako je hash nepodoban. Vidi tablice rainbow).

    Što se tiče pitanja sličnosti, to će ovisiti o tome što napadač zna o vama. Ako dobijem zaporku na web-lokaciji A i ako znam da koristite određene obrasce za stvaranje korisničkih imena ili slično, mogu isprobati te iste konvencije o zaporkama na web-lokacijama koje upotrebljavate.

    Alternativno, u zaporkama koje ste dali gore, ako kao napadač vidim očigledan uzorak koji mogu koristiti za odvajanje dijela zaporke specifičnog za web-lokaciju od dijela generičke zaporke, svakako ću napraviti taj dio prilagođenog napada lozinkom tebi.

    Primjerice, recimo da imate super sigurnu zaporku poput 58htg% HF! C. Da biste tu zaporku koristili na različitim web-lokacijama, dodajte stavku specifičnu za web-lokaciju na početak, tako da imate lozinke kao što su: facebook58htg% HF! C, wellsfargo58htg% HF! C ili gmail58htg% HF! C, možete se kladiti ako hack your facebook i dobiti facebook58htg% HF! c ću vidjeti taj uzorak i koristiti ga na drugim mjestima nađem da možete koristiti.

    Sve se svodi na obrasce. Hoće li napadač vidjeti uzorak u dijelu koji se odnosi na web-lokaciju i generički dio zaporke?

    Ako ste zabrinuti da vam trenutni popis lozinke nije raznolik i dovoljno slučajan, preporučujemo da provjerite naš sveobuhvatni vodič za sigurnost lozinke: Kako se oporaviti nakon što je Vaša lozinka ugrožena. Preradom popisa zaporki kao da je majka svih zaporki, lozinke za e-poštu ugrožena, lako je brzo dovesti portfelj lozinke do brzine.


    Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.