Ако някоя от вашите пароли е компрометирана, правитова автоматично означава, че другите ви пароли също са компрометирани? Въпреки че има доста променливи в играта, въпросът е интересен поглед върху това, което прави парола уязвима и какво можете да направите, за да се защитите.
Днешната сесия „Въпроси и отговори“ идва при нас от любезното съдействие на SuperUser - подразделение на Stack Exchange, групиране на общността на Q&A уебсайтове.
Въпроса
Четецът на SuperUser Майкъл МакГоуан е любопитен колко далеч е достигането на въздействието на едно нарушение на паролата; той пише:
Да предположим, че потребителят използва защитена парола в сайт A и друга, но подобна защитена парола в сайт Б. Може би нещо като mySecure12#PasswordA на сайт А и mySecure12#PasswordB на сайт Б (не се колебайте да използвате различно определение за „сходство“, ако има смисъл).
Да предположим, че тогава е паролата за сайт Апо някакъв начин компрометиран… може би злонамерен служител на сайт А или изтичане на сигурност. Означава ли това, че паролата на сайта Б също е била компрометирана или не съществува такова нещо като „сходство с паролата“ в този контекст? Има ли някаква разлика дали компромисът в сайт A е бил прост текст или хеширана версия?
Трябва ли Майкъл да се тревожи, ако се случи неговата хипотетична ситуация?
Отговорът
Сътрудниците на SuperUser помогнаха да се изясни проблемът за Майкъл. Въпросникът на Superuser Queso пише:
За да отговорите първо на последната част: Да, ще има значение, ако оповестените данни са ясен текст спрямо хеширани. В хеш, ако промените един символ, целият хеш е напълно различен. Единственият начин, по който атакуващият би знаел паролата, е да грубо форсира хеша (не е невъзможно, особено ако хешът е несолен. Вижте таблиците с дъгата).
Що се отнася до въпроса за приликата, би билозависи от това, което нападателят знае за теб. Ако получа вашата парола на сайт A и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да пробвам същите тези конвенции за паролите на сайтовете, които използвате.
Като алтернатива в паролите, които давате по-горе,ако аз като нападател виждам очевиден модел, който мога да използвам, за да отделя специфична за сайта част от паролата от общата част на паролата, определено ще направя тази част от персонализирана атака с парола, съобразена с вас.
Като пример кажете, че имате супер сигурнапарола като 58htg% HF! c. За да използвате тази парола в различни сайтове, добавяте специфичен за сайта елемент в началото, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, можете да заложите, ако аз хакнете вашия фейсбук и вземете facebook58htg% HF! c Ще видя този модел и ще го използвам на други сайтове, които намирам, че може да използвате.
Всичко се свежда до модели. Дали нападателят ще види шаблон в частта за сайта и общата част на вашата парола?
Друг сътрудник на Superuser, Майкъл Трауш, обяснява как в повечето ситуации хипотетичната ситуация не е много причина за безпокойство:
За да отговорите първо на последната част: Да, ще има значение, ако оповестените данни са ясен текст спрямо хеширани. В хеш, ако промените един символ, целият хеш е напълно различен. Единственият начин, по който атакуващият би знаел паролата, е да грубо форсира хеша (не е невъзможно, особено ако хешът е несолен. Вижте таблиците с дъгата).
Що се отнася до въпроса за приликата, би билозависи от това, което нападателят знае за теб. Ако получа вашата парола на сайт A и ако знам, че използвате определени модели за създаване на потребителски имена или такива, може да пробвам същите тези конвенции за паролите на сайтовете, които използвате.
Като алтернатива в паролите, които давате по-горе,ако аз като нападател виждам очевиден модел, който мога да използвам, за да отделя специфична за сайта част от паролата от общата част на паролата, определено ще направя тази част от персонализирана атака с парола, съобразена с вас.
Като пример кажете, че имате супер сигурнапарола като 58htg% HF! c. За да използвате тази парола в различни сайтове, добавяте специфичен за сайта елемент в началото, така че да имате пароли като: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, можете да заложите, ако аз хакнете вашия фейсбук и вземете facebook58htg% HF! c Ще видя този модел и ще го използвам на други сайтове, които намирам, че може да използвате.
Всичко се свежда до модели. Дали нападателят ще види шаблон в частта за сайта и общата част на вашата парола?
Ако се притеснявате, че имате текущата пароласписъкът не е достатъчно разнообразен и случаен, горещо препоръчваме да разгледате нашето цялостно ръководство за сигурност на паролата: Как да възстановите след като вашата електронна парола е компрометирана. Чрез преработка на списъците с пароли, сякаш майката на всички пароли, вашата имейл парола, е компрометирана, лесно е бързо да увеличите портфолиото си с пароли.
Имате какво да добавите към обяснението? Озвучете в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange, работещи в технологиите? Вижте цялата дискусионна тема тук.
