Si l’un de vos mots de passe est compromis, est-ce quecela signifie automatiquement que vos autres mots de passe sont également compromis? Bien qu'il y ait pas mal de variables en jeu, la question est de savoir ce qui rend un mot de passe vulnérable et ce que vous pouvez faire pour vous protéger.
La séance de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté.
La question
Le lecteur SuperUser, Michael McGowan, est curieux de voir l’impact d’une violation de mot de passe unique. il écrit:
Supposons qu'un utilisateur utilise un mot de passe sécurisé sur le site A et un mot de passe sécurisé différent mais similaire sur le site B. mySecure12#PasswordA sur le site A et mySecure12#PasswordB sur le site B (n'hésitez pas à utiliser une définition différente de la «similarité» si cela a du sens).
Supposons alors que le mot de passe du site A soiten quelque sorte compromis… peut-être un employé malveillant du site A ou une faille de sécurité. Cela signifie-t-il que le mot de passe du site B a également été effectivement compromis, ou existe-t-il une «similarité de mot de passe» dans ce contexte? Est-ce que cela fait une différence que le compromis sur le site A soit une fuite de texte brut ou une version hachée?
Michael devrait-il s'inquiéter si sa situation hypothétique se concrétisait?
La réponse
Les contributeurs SuperUser ont aidé à résoudre le problème pour Michael. Le contributeur superutilisateur Queso écrit:
Pour répondre à la dernière partie en premier: Oui, cela ferait une différence si les données divulguées étaient en texte clair ou hachées. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. Le seul moyen pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, il seraitdépend de ce que l’attaquant sait sur vous. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur, vous pouvez utiliser les mêmes conventions pour les mots de passe des sites que vous utilisez.
Alternativement, dans les mots de passe que vous donnez ci-dessus,Si, en tant qu'attaquant, je vois un schéma évident que je peux utiliser pour séparer une partie du mot de passe spécifique au site de la partie du mot de passe générique, je vais certainement adapter cette partie d'une attaque par mot de passe personnalisé à votre intention.
Par exemple, disons que vous avez un super sécurisémot de passe comme 58htg% HF! c. Pour utiliser ce mot de passe sur différents sites, vous devez ajouter un élément spécifique au site, de sorte que vous disposiez de mots de passe tels que: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, vous pouvez parier que si pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif se retrouver dans la partie spécifique au site et dans la partie générique de votre mot de passe?
Un autre contributeur de superutilisateur, Michael Trausch, explique comment, dans la plupart des situations, la situation hypothétique n’a guère de raison de s’inquiéter:
Pour répondre à la dernière partie en premier: Oui, cela ferait une différence si les données divulguées étaient en texte clair ou hachées. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. Le seul moyen pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, il seraitdépend de ce que l’attaquant sait sur vous. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur, vous pouvez utiliser les mêmes conventions pour les mots de passe des sites que vous utilisez.
Alternativement, dans les mots de passe que vous donnez ci-dessus,Si, en tant qu'attaquant, je vois un schéma évident que je peux utiliser pour séparer une partie du mot de passe spécifique au site de la partie du mot de passe générique, je vais certainement adapter cette partie d'une attaque par mot de passe personnalisé à votre intention.
Par exemple, disons que vous avez un super sécurisémot de passe comme 58htg% HF! c. Pour utiliser ce mot de passe sur différents sites, vous devez ajouter un élément spécifique au site, de sorte que vous disposiez de mots de passe tels que: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, vous pouvez parier que si pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif se retrouver dans la partie spécifique au site et dans la partie générique de votre mot de passe?
Si vous êtes préoccupé par votre mot de passe actuelComme la liste n’est pas assez diversifiée et aléatoire, nous vous recommandons vivement de consulter notre guide complet de sécurité par mot de passe: Comment récupérer après que votre mot de passe d’email soit compromis. En retravaillant vos listes de mots de passe comme si la mère de tous les mots de passe, votre mot de passe de messagerie, avait été compromise, il est facile de rapidement mettre à jour votre portefeuille de mots de passe.
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.
