Hjemmeside » hvordan » Hvis ett av mine passord er kompromittert, er mine andre passord kompromittert for?

    Hvis ett av mine passord er kompromittert, er mine andre passord kompromittert for?

    Hvis et av dine passord er kompromittert, betyr det automatisk at de andre passordene dine også blir kompromittert? Selv om det er ganske mange variabler på spill, er spørsmålet et interessant blikk på hva som gjør et passord sårbart og hva du kan gjøre for å beskytte deg selv.

    Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en gruppedriving av Q & A-nettsider.

    Spørsmålet

    SuperUser leser Michael McGowan er nysgjerrig på hvor langt nå effekten av et enkelt passordbrudd er; han skriver:

    Anta at en bruker bruker et sikkert passord på nettsted A og et annet, men liknende sikkert passord på nettsted B. Kanskje noe som mySecure12 # PasswordA på stedet A og mySecure12 # PasswordB på side B (gjerne bruke en annen definisjon av "likhet" hvis det er fornuftig).

    Anta da at passordet for nettsted A på en eller annen måte er skadet ... kanskje en ondsinnet ansatt på nettsted A eller en sikkerhetslekkasje. Betyr dette at passordet til nettsted B faktisk har blitt kompromittert, eller er det ikke noe slikt som "passord likhet" i denne sammenheng? Gjør det noen forskjell om kompromisset på nettsted A var en vanlig tekstlekkasje eller en hashed-versjon?

    Skal Michael bekymre seg om hans hypotetiske situasjon kommer til å passere?

    Svaret

    SuperUser-bidragsytere bidro til å løse problemet for Michael. Superbruker bidragsyter Queso skriver:

    Å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis de oppgitte dataene var cleartext vs hashed. I en hash, hvis du endrer en enkelt karakter, er hele hasen helt annerledes. Den eneste måten en angriper ville vite passordet er å brute tvinge hash (ikke umulig, spesielt hvis hash er usaltet. Se regnbuebord).

    Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettstedet A og hvis jeg vet at du bruker bestemte mønstre for å lage brukernavn eller lignende, kan jeg prøve de samme konvensjonene på passord på nettsteder du bruker.

    Alternativt, i passordene du oppgir ovenfor, hvis jeg som angriper ser et opplagt mønster som jeg kan bruke til å skille en sideavhengig del av passordet fra den generiske passorddelen, vil jeg definitivt gjøre den delen av et tilpasset passordangrep skreddersydd til deg.

    For eksempel, si at du har et super sikkert passord som 58htg% HF! C. For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse om jeg hack din facebook og få facebook58htg% HF! c Jeg skal se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.

    Alt kommer ned til mønstre. Vil angriperen se et mønster i den nettstedspesifikke delen og generiske delen av passordet ditt?

    En annen Superuser-bidragsyter, Michael Trausch, forklarer hvordan i de fleste situasjoner den hypotetiske situasjonen ikke er stor grunn til bekymring:

    Å svare på den siste delen først: Ja, det ville gjøre en forskjell hvis de oppgitte dataene var cleartext vs hashed. I en hash, hvis du endrer en enkelt karakter, er hele hasen helt annerledes. Den eneste måten en angriper ville vite passordet er å brute tvinge hash (ikke umulig, spesielt hvis hash er usaltet. Se regnbuebord).

    Når det gjelder likhetsspørsmålet, vil det avhenge av hva angriperen vet om deg. Hvis jeg får passordet ditt på nettstedet A og hvis jeg vet at du bruker bestemte mønstre for å lage brukernavn eller lignende, kan jeg prøve de samme konvensjonene på passord på nettsteder du bruker.

    Alternativt, i passordene du oppgir ovenfor, hvis jeg som angriper ser et opplagt mønster som jeg kan bruke til å skille en sideavhengig del av passordet fra den generiske passorddelen, vil jeg definitivt gjøre den delen av et tilpasset passordangrep skreddersydd til deg.

    For eksempel, si at du har et super sikkert passord som 58htg% HF! C. For å bruke dette passordet på forskjellige nettsteder, legger du til et nettstedspesifikt element i begynnelsen, slik at du har passord som: facebook58htg% HF! C, wellsfargo58htg% HF! C, eller gmail58htg% HF! C, du kan satse om jeg hack din facebook og få facebook58htg% HF! c Jeg skal se det mønsteret og bruke det på andre nettsteder jeg finner ut at du kan bruke.

    Alt kommer ned til mønstre. Vil angriperen se et mønster i den nettstedspesifikke delen og generiske delen av passordet ditt?

    Hvis du er bekymret for at din nåværende passordliste ikke er variert og tilfeldig nok, anbefaler vi sterkt å sjekke ut vår omfattende passord sikkerhetsguide: Slik gjenoppretter du etter at passordet ditt er kompromittert. Ved å omarbeide passordlistene som om moren til alle passordene, ditt e-postpassord, har blitt kompromittert, er det enkelt å raskt ta med passordporteføljen din til hastighet.


    Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.