Εάν κάποιος από τους κωδικούς σας είναι συμβιβασμένος, το κάνειαυτό σημαίνει αυτόματα ότι οι άλλοι κωδικοί σας είναι επίσης σε κίνδυνο; Ενώ υπάρχουν αρκετές μεταβλητές στο παιχνίδι, η ερώτηση είναι μια ενδιαφέρουσα ματιά στο τι κάνει τον κωδικό ευάλωτο και τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας.
Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινοτική μονάδα δίσκου των ιστότοπων Ε & Α.
Το ερώτημα
Ο αναγνώστης SuperUser Michael McGowan είναι περίεργος πόσο μακριά φτάνει η επίδραση μιας ενιαίας παραβίασης του κωδικού πρόσβασης. αυτός γράφει:
Ας υποθέσουμε ότι ένας χρήστης χρησιμοποιεί έναν ασφαλή κωδικό πρόσβασης στον ιστότοπο Α και έναν διαφορετικό αλλά παρόμοιο ασφαλή κωδικό πρόσβασης στον ιστότοπο Β. Ίσως κάτι τέτοιο mySecure12#PasswordA στο χώρο Α και mySecure12#PasswordB στο χώρο Β (αισθανθείτε ελεύθεροι να χρησιμοποιήσετε διαφορετικό ορισμό της "ομοιότητας" αν έχει νόημα).
Υποθέστε λοιπόν ότι ο κωδικός πρόσβασης για τον ιστότοπο A είναικάπως διακυβεύεται ... ίσως ένας κακόβουλος υπάλληλος της τοποθεσίας Α ή μια διαρροή ασφαλείας. Σημαίνει αυτό το γεγονός ότι ο κωδικός πρόσβασης του ιστοτόπου B έχει επίσης συμβιβαστεί, ή δεν υπάρχει κάτι τέτοιο όπως "ομοιότητα κωδικού πρόσβασης" σε αυτό το πλαίσιο; Μήπως έχει σημασία εάν ο συμβιβασμός στον ιστότοπο Α ήταν διαρροή απλού κειμένου ή εκδοχή με χαστούκια;
Πρέπει ο Michael να ανησυχεί εάν η υποθετική του κατάσταση έρθει να περάσει;
Η απάντηση
Οι συνεργάτες του SuperUser βοήθησαν να ξεκαθαρίσουν το ζήτημα για τον Michael. Ο συνεργάτης Superuser Queso γράφει:
Για να απαντήσετε πρώτα στο τελευταίο μέρος: Ναι, θα ήταν σημαντική η διαφορά αν τα δεδομένα που αποκαλύφθηκαν ήταν καθαρό κείμενο έναντι καταιγισμού. Σε ένα hash, αν αλλάξετε ένα χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό. Ο μόνος τρόπος που ένας εισβολέας θα ήξερε ότι ο κωδικός πρόσβασης είναι να βλάψει το hash (δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος.
Όσον αφορά το ζήτημα ομοιότητας, θα ήτανεξαρτάται από το τι γνωρίζει ο εισβολέας για εσάς. Εάν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα πρότυπα για τη δημιουργία ονομάτων χρηστών ή αυτών, μπορώ να δοκιμάσω τις ίδιες συμβάσεις σχετικά με τους κωδικούς πρόσβασης στους ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στους κωδικούς πρόσβασης που δίνετε παραπάνω,αν εγώ ως εισβολέας βλέπω ένα προφανές μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσω ένα συγκεκριμένο τμήμα του κωδικού πρόσβασης από το τμήμα γενικού κωδικού πρόσβασης, σίγουρα θα κάνω αυτό το μέρος μιας επίθεσης προσαρμοσμένου κωδικού πρόσβασης προσαρμοσμένη σε εσάς.
Για παράδειγμα, λέτε ότι έχετε ένα σούπερ ασφαλήκωδικό πρόσβασης όπως 58htg% HF! c. Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς ιστότοπους, προσθέτετε στην αρχή ένα στοιχείο που αφορά συγκεκριμένο ιστότοπο, έτσι ώστε να έχετε κωδικούς πρόσβασης όπως: facebook58htg% HF! C, wellsfargo58htg% HF! C ή gmail58htg% HF! C, μπορείτε να στοιχηματίσετε αν hack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα. Ο επιτιθέμενος θα δει ένα μοτίβο στο τμήμα της συγκεκριμένης τοποθεσίας και το γενικό τμήμα του κωδικού πρόσβασής σας;
Ένας άλλος συνεργάτης του Superuser, Michael Trausch, εξηγεί πως στις περισσότερες περιπτώσεις η υποθετική κατάσταση δεν προκαλεί ανησυχίες:
Για να απαντήσετε πρώτα στο τελευταίο μέρος: Ναι, θα ήταν σημαντική η διαφορά αν τα δεδομένα που αποκαλύφθηκαν ήταν καθαρό κείμενο έναντι καταιγισμού. Σε ένα hash, αν αλλάξετε ένα χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό. Ο μόνος τρόπος που ένας εισβολέας θα ήξερε ότι ο κωδικός πρόσβασης είναι να βλάψει το hash (δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος.
Όσον αφορά το ζήτημα ομοιότητας, θα ήτανεξαρτάται από το τι γνωρίζει ο εισβολέας για εσάς. Εάν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα πρότυπα για τη δημιουργία ονομάτων χρηστών ή αυτών, μπορώ να δοκιμάσω τις ίδιες συμβάσεις σχετικά με τους κωδικούς πρόσβασης στους ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στους κωδικούς πρόσβασης που δίνετε παραπάνω,αν εγώ ως εισβολέας βλέπω ένα προφανές μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσω ένα συγκεκριμένο τμήμα του κωδικού πρόσβασης από το τμήμα γενικού κωδικού πρόσβασης, σίγουρα θα κάνω αυτό το μέρος μιας επίθεσης προσαρμοσμένου κωδικού πρόσβασης προσαρμοσμένη σε εσάς.
Για παράδειγμα, λέτε ότι έχετε ένα σούπερ ασφαλήκωδικό πρόσβασης όπως 58htg% HF! c. Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς ιστότοπους, προσθέτετε στην αρχή ένα στοιχείο που αφορά συγκεκριμένο ιστότοπο, έτσι ώστε να έχετε κωδικούς πρόσβασης όπως: facebook58htg% HF! C, wellsfargo58htg% HF! C ή gmail58htg% HF! C, μπορείτε να στοιχηματίσετε αν hack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα. Ο επιτιθέμενος θα δει ένα μοτίβο στο τμήμα της συγκεκριμένης τοποθεσίας και το γενικό τμήμα του κωδικού πρόσβασής σας;
Αν ανησυχείτε ότι έχετε τον τρέχοντα κωδικό πρόσβασηςο κατάλογος δεν είναι διαφορετικός και αρκετά τυχαίος, συνιστούμε ιδιαίτερα να ελέγξουμε τον ολοκληρωμένο οδηγό μας για την ασφάλεια των κωδικών πρόσβασης: Πώς να ανακτήσετε μετά τον κωδικό σας ηλεκτρονικού ταχυδρομείου είναι συμβιβασμένος. Με την ανανέωση των λιστών κωδικών πρόσβασης, όπως και αν η μητέρα όλων των κωδικών πρόσβασης, ο κωδικός σας ηλεκτρονικού ταχυδρομείου, έχει συμβιβαστεί, είναι εύκολο να μεταφέρετε γρήγορα το χαρτοφυλάκιο κωδικών πρόσβασης.
Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.
