Jeśli złamane zostanie jedno z haseł, czy to automatycznie oznacza, że inne hasła są również zagrożone? Chociaż w grze jest kilka zmiennych, pytanie brzmi interesująco, co sprawia, że hasło jest podatne na ataki i co możesz zrobić, aby chronić siebie.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.
Czytelnik SuperUser Michael McGowan jest ciekawy, jak daleko sięgają skutki pojedynczego naruszenia hasła; on pisze:
Załóżmy, że użytkownik używa bezpiecznego hasła na stronie A i innego, ale podobnego bezpiecznego hasła w witrynie B. Może coś w stylu
mySecure12 # HasłoA
na miejscu A imySecure12 # HasłoB
na stronie B (proszę wybrać inną definicję "podobieństwa", jeśli ma to sens).Załóżmy, że hasło do strony A zostało w jakiś sposób naruszone ... może złośliwy pracownik witryny A lub wyciek bezpieczeństwa. Czy to oznacza, że hasło witryny B również zostało naruszone, czy też nie ma czegoś takiego jak "podobieństwo hasła" w tym kontekście? Czy ma to wpływ na to, czy kompromis na stronie A był wyciekiem z czystego tekstu, czy też z mieszaną wersją?
Czy Michael powinien się niepokoić, jeśli dojdzie do hipotetycznej sytuacji?
Współautorzy SuperUser pomogli wyjaśnić sprawę Michaelowi. Recenzent superużytkowników Queso pisze:
Odpowiadając na ostatnią część jako pierwszą: tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashed. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza (nie jest to niemożliwe, zwłaszcza jeśli hash jest niesolny).
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Ewentualnie w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od określonej strony, od ogólnej części hasła, to na pewno zrobię tę część niestandardowego ataku hasła dostosowanego do Ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli ja zetrzyj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których korzystam.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Inny uczestnik projektu Superuser, Michael Trausch, wyjaśnia, jak w większości sytuacji hipotetyczna sytuacja nie jest powodem do niepokoju:
Odpowiadając na ostatnią część jako pierwszą: tak, to by miało znaczenie, gdyby ujawnione dane były czystym tekstem kontra hashed. W haszowaniu, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki atakujący będzie znał hasło, jest brutalna wymuszenie hasza (nie jest to niemożliwe, zwłaszcza jeśli hash jest niesolny).
Jeśli chodzi o kwestię podobieństwa, zależy to od tego, co atakujący o tobie wie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników lub takich, mogę wypróbować te same konwencje dotyczące haseł na stronach, z których korzystasz.
Ewentualnie w haseł podanych powyżej, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła od określonej strony, od ogólnej części hasła, to na pewno zrobię tę część niestandardowego ataku hasła dostosowanego do Ciebie.
Jako przykład powiedzmy, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby użyć tego hasła w różnych witrynach, dodajesz na początku element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz postawić, jeśli ja zetrzyj swój facebook i uzyskaj facebook58htg% HF! c. Zobaczę ten wzór i użyję go na innych stronach, z których korzystam.
Wszystko sprowadza się do wzorców. Czy atakujący zobaczy wzór w części specyficznej dla witryny i ogólnej części hasła?
Jeśli obawiasz się, że aktualna lista haseł nie jest wystarczająco zróżnicowana i przypadkowa, zdecydowanie zalecamy zapoznanie się z naszym obszernym przewodnikiem bezpieczeństwa haseł: Jak odzyskać dane po tym, jak Twoje hasło do e-maila zostanie zaszkodzone. Zmieniając listy haseł tak, jakby złamane zostało hasło wszystkich haseł, hasło e-mail, możesz szybko przyspieszyć wprowadzanie portfolio haseł.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.