Домашняя » как » Если один из моих паролей будет взломан, другие мои пароли тоже будут взломаны?

    Если один из моих паролей будет взломан, другие мои пароли тоже будут взломаны?

    Если один из ваших паролей скомпрометирован, означает ли это, что другие ваши пароли также скомпрометированы? Несмотря на то, что в игре довольно много переменных, вопрос представляет собой интересный взгляд на то, что делает пароль уязвимым и что вы можете сделать, чтобы защитить себя.

    Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser - подразделению Stack Exchange, групповой группе веб-сайтов вопросов и ответов..

    Вопрос

    Читатель SuperUser Майкл МакГоуэн интересуется, насколько далеко доходит последствия взлома одного пароля; он пишет:

    Предположим, что пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. Может быть что-то вроде mySecure12 # PasswordA на сайте А и mySecure12 # PasswordB на сайте B (не стесняйтесь использовать другое определение «сходства», если это имеет смысл).

    Предположим тогда, что пароль для сайта A каким-то образом скомпрометирован ... может быть, злонамеренный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был эффективно скомпрометирован, или в этом контексте не существует такой вещи, как «сходство паролей»? Имеет ли какое-то значение, был ли компромисс на сайте A утечкой в ​​виде простого текста или хешированной версией?

    Должен ли Майкл волноваться, если его гипотетическая ситуация сбудется?

    Ответ

    Участники SuperUser помогли прояснить проблему для Майкла. Автор Суперпользователя Кесо пишет:

    Сначала ответим на последнюю часть: Да, было бы важно, если бы раскрываемые данные были открытым текстом или хешированием. В хэше, если вы измените один символ, весь хэш будет совершенно другим. Единственный способ, которым злоумышленник узнает пароль, - это взломать хэш (это невозможно, особенно если хэш несоленый. См. Радужные таблицы).

    Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или тому подобное, я могу попробовать те же соглашения в отношении паролей на сайтах, которые вы используете.

    В качестве альтернативы, в паролях, которые вы приводите выше, если я как злоумышленник вижу очевидный шаблон, который я могу использовать, чтобы отделить специфичную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть атаки с использованием специального пароля специально тебе.

    Например, скажем, у вас есть супер-безопасный пароль, например 58htg% HF! C. Чтобы использовать этот пароль на разных сайтах, вы добавляете элемент, специфичный для сайта, в начале, чтобы у вас были пароли, такие как: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, вы можете сделать ставку, если я взломайте ваш facebook и получите facebook58htg% HF! c Я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.

    Все сводится к шаблонам. Увидит ли злоумышленник шаблон в определенной для сайта части и общую часть вашего пароля?

    Другой участник Superuser, Майкл Трауш, объясняет, как в большинстве ситуаций гипотетическая ситуация не вызывает особых опасений:

    Сначала ответим на последнюю часть: Да, было бы важно, если бы раскрываемые данные были открытым текстом или хешированием. В хэше, если вы измените один символ, весь хэш будет совершенно другим. Единственный способ, которым злоумышленник узнает пароль, - это взломать хэш (это невозможно, особенно если хэш несоленый. См. Радужные таблицы).

    Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или тому подобное, я могу попробовать те же соглашения в отношении паролей на сайтах, которые вы используете.

    В качестве альтернативы, в паролях, которые вы приводите выше, если я как злоумышленник вижу очевидный шаблон, который я могу использовать, чтобы отделить специфичную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть атаки с использованием специального пароля специально тебе.

    Например, скажем, у вас есть супер-безопасный пароль, например 58htg% HF! C. Чтобы использовать этот пароль на разных сайтах, вы добавляете элемент, специфичный для сайта, в начале, чтобы у вас были пароли, такие как: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, вы можете сделать ставку, если я взломайте ваш facebook и получите facebook58htg% HF! c Я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.

    Все сводится к шаблонам. Увидит ли злоумышленник шаблон в определенной для сайта части и общую часть вашего пароля?

    Если вы обеспокоены тем, что ваш текущий список паролей не достаточно разнообразен и случайен, мы настоятельно рекомендуем ознакомиться с нашим всеобъемлющим руководством по безопасности паролей: Как восстановить пароль после взлома пароля. Переработав ваши списки паролей так, как если бы основная из всех паролей, ваш пароль электронной почты, была скомпрометирована, легко можно быстро ускорить ваш портфель паролей..


    Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.