Domovská » jak » Je-li jeden z mých hesel kompromisován, jsou mé ostatní hesla kompromisní příliš?

    Je-li jeden z mých hesel kompromisován, jsou mé ostatní hesla kompromisní příliš?

    Je-li některá z vašich hesel ohrožena, znamená to automaticky, že vaše ostatní hesla jsou také ohrožena? Přestože je na hraní poměrně málo proměnných, je otázkou zajímavý pohled na to, co dělá heslo zranitelným a co můžete udělat, abyste se chránili.

    Dnešní zasedání Otázky a odpovědi se k nám přichází s laskavým svolením SuperUser - subdivize Stack Exchange, seskupení webových stránek Q & A.

    Otázka

    Čtenář SuperUser Michael McGowan je zvědavý, jak daleký dopad na narušení jednoho hesla je; napsal:

    Předpokládejme, že uživatel používá na serveru A bezpečné heslo a jiné podobné bezpečnostní heslo na webu B. Možná něco podobného mySecure12 # PasswordA na místě A a mySecure12 # PasswordB na místě B (neváhejte použít jinou definici "podobnosti", pokud má smysl).

    Předpokládejme tedy, že heslo pro web A je nějakým způsobem ohroženo ... možná zlomyslným zaměstnancem webu A nebo bezpečnostní netěsností. Znamená to, že heslo stránky B bylo také účinně ohroženo, nebo neexistuje v tomto kontextu žádná podobná věc jako "podobná hesla"? Má nějaký rozdíl, zda kompromis na webu A byl prostý text únik nebo hash verze?

    Měl by se Michael starat o to, zda se jeho hypotetická situace stane?

    Odpověď

    Příspěvky uživatelů SuperUseru pomohli vyřešit problém pro Michaela. Superuser přispívá Queso píše:

    Nejprve odpovědět na poslední část: Ano, bylo by důležité, kdyby byly zveřejněny údaje jako jasný text versus hash. V hash, pokud změníte jeden znak, celý hash je zcela jiný. Jediný způsob, jak by útočník věděl, že je heslo k brutální síle hash (není nemožné, zvláště pokud hash je nesolený..

    Pokud jde o otázku podobnosti, závisí to na tom, co o vás útočník ví. Pokud dostanu vaše heslo na webu A a pokud vím, že používáte určité vzorce pro vytváření uživatelských jmen nebo podobných, mohu zkusit stejné konvence o heslech na webech, které používáte.

    Případně, v heslech, které uvedete výše, jestliže jako útočník vidím zřejmý vzorek, který mohu použít k oddělení části specifické části hesla od části obecného hesla, určitě udělám, že část útoku vlastní hesla je přizpůsobena tobě.

    Jako příklad řekněme, že máte velmi bezpečné heslo jako 58htg% HF! C. Chcete-li toto heslo použít na různých webech, můžete na začátku přidat položku specifickou pro danou stránku, takže máte hesla, jako například: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, hack facebook a dostat facebook58htg% HF! C Uvidím, že vzorek a používat ho na jiných stránkách zjistím, že můžete použít.

    Všechno přichází ke vzorům. Objeví útočník vzorek v části specifické pro danou stránku a obecnou část vašeho hesla?

    Další přispěvatel Superuser, Michael Trausch, vysvětluje, že ve většině situací není hypotetická situace důvodem k obavám:

    Nejprve odpovědět na poslední část: Ano, bylo by důležité, kdyby byly zveřejněny údaje jako jasný text versus hash. V hash, pokud změníte jeden znak, celý hash je zcela jiný. Jediný způsob, jak by útočník věděl, že je heslo k brutální síle hash (není nemožné, zvláště pokud hash je nesolený..

    Pokud jde o otázku podobnosti, závisí to na tom, co o vás útočník ví. Pokud dostanu vaše heslo na webu A a pokud vím, že používáte určité vzorce pro vytváření uživatelských jmen nebo podobných, mohu zkusit stejné konvence o heslech na webech, které používáte.

    Případně, v heslech, které uvedete výše, jestliže jako útočník vidím zřejmý vzorek, který mohu použít k oddělení části specifické části hesla od části obecného hesla, určitě udělám, že část útoku vlastní hesla je přizpůsobena tobě.

    Jako příklad řekněme, že máte velmi bezpečné heslo jako 58htg% HF! C. Chcete-li toto heslo použít na různých webech, můžete na začátku přidat položku specifickou pro danou stránku, takže máte hesla, jako například: facebook58htg% HF! C, wellsfargo58htg% HF! C nebo gmail58htg% HF! C, hack facebook a dostat facebook58htg% HF! C Uvidím, že vzorek a používat ho na jiných stránkách zjistím, že můžete použít.

    Všechno přichází ke vzorům. Objeví útočník vzorek v části specifické pro danou stránku a obecnou část vašeho hesla?

    Pokud se obáváte, že aktuální seznam hesel není různorodý a dostatečně náhodný, doporučujeme vám, abyste si prohlédli naši komplexní příručku pro zabezpečení hesla: Jak obnovit heslo po e-mailu je kompromisní. Tím, že přepracujete své seznamy hesel, jako by matka všech hesel, vaše heslo k e-mailu, bylo ohroženo, je snadné rychle přenést své portfolio do rychlosti.


    Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.