Si una de sus contraseñas se ve comprometida, ¿¿Eso significa automáticamente que sus otras contraseñas también están en peligro? Si bien hay bastantes variables en juego, la pregunta es una mirada interesante sobre qué hace que una contraseña sea vulnerable y qué puede hacer para protegerse.
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas dirigida por la comunidad.
La pregunta
El lector de SuperUser, Michael McGowan, tiene curiosidad sobre cuán lejos es el impacto de una sola violación de contraseña; él escribe:
Supongamos que un usuario usa una contraseña segura en el sitio A y una contraseña segura diferente pero similar en el sitio B. Quizás algo así como mySecure12#PasswordA en el sitio A y mySecure12#PasswordB en el sitio B (no dude en utilizar una definición diferente de "similitud" si tiene sentido).
Supongamos entonces que la contraseña para el sitio A escomprometido de alguna manera ... tal vez un empleado malicioso del sitio A o una fuga de seguridad. ¿Significa esto que la contraseña del sitio B también se ha visto comprometida, o no existe tal "similitud de contraseña" en este contexto? ¿Hace alguna diferencia si el compromiso en el sitio A fue una fuga de texto sin formato o una versión hash?
¿Debería Michael preocuparse si su hipotética situación se cumple?
La respuesta
Los contribuyentes de SuperUser ayudaron a aclarar el problema para Michael. El colaborador del superusuario Queso escribe:
Para responder la última parte primero: Sí, marcaría una diferencia si los datos divulgados fueran de texto sin cifrar frente a hash. En un hash, si cambia un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante sabría la contraseña es forzar el hash por fuerza bruta (no es imposible, especialmente si el hash no tiene sal. Ver tablas de arcoíris).
En cuanto a la pregunta de similitud, seríadepende de lo que el atacante sepa de ti. Si obtengo su contraseña en el sitio A y sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre las contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que proporcione arriba,Si, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré esa parte de un ataque de contraseña personalizado a su medida.
Como ejemplo, digamos que tiene un súper segurocontraseña como 58htg% HF! c. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si yo piratee su facebook y obtenga facebook58htg% HF! c Voy a ver ese patrón y usarlo en otros sitios que creo que puede usar.
Todo se reduce a patrones. ¿El atacante verá un patrón en la parte específica del sitio y la parte genérica de su contraseña?
Otro colaborador de Superusuario, Michael Trausch, explica cómo en la mayoría de las situaciones la situación hipotética no es motivo de preocupación:
Para responder la última parte primero: Sí, marcaría una diferencia si los datos divulgados fueran de texto sin cifrar frente a hash. En un hash, si cambia un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante sabría la contraseña es forzar el hash por fuerza bruta (no es imposible, especialmente si el hash no tiene sal. Ver tablas de arcoíris).
En cuanto a la pregunta de similitud, seríadepende de lo que el atacante sepa de ti. Si obtengo su contraseña en el sitio A y sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre las contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que proporcione arriba,Si, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré esa parte de un ataque de contraseña personalizado a su medida.
Como ejemplo, digamos que tiene un súper segurocontraseña como 58htg% HF! c. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si yo piratee su facebook y obtenga facebook58htg% HF! c Voy a ver ese patrón y usarlo en otros sitios que creo que puede usar.
Todo se reduce a patrones. ¿El atacante verá un patrón en la parte específica del sitio y la parte genérica de su contraseña?
Si le preocupa su contraseña actualla lista no es lo suficientemente diversa y aleatoria, le recomendamos que consulte nuestra guía completa de seguridad de contraseñas: Cómo recuperarse después de que se compromete su contraseña de correo electrónico. Al reelaborar sus listas de contraseñas como si la madre de todas las contraseñas, su contraseña de correo electrónico, estuviera comprometida, es fácil actualizar rápidamente su cartera de contraseñas.
¿Tienes algo que agregar a la explicación? Suena apagado en los comentarios. ¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.
