Se uma de suas senhas estiver comprometida, seráisso significa automaticamente que suas outras senhas também estão comprometidas? Embora existam algumas variáveis em jogo, a questão é uma visão interessante sobre o que torna uma senha vulnerável e o que você pode fazer para se proteger.
A sessão de perguntas e respostas de hoje é uma cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites de perguntas e respostas.
A questão
O leitor do superusuário Michael McGowan está curioso para saber até que ponto está atingindo o impacto de uma única violação de senha; ele escreve:
Suponha que um usuário use uma senha segura no site A e uma senha segura diferente, mas semelhante, no site B. Talvez algo como mySecure12#PasswordA no site A e mySecure12#PasswordB no site B (sinta-se à vontade para usar uma definição diferente de "similaridade", se isso fizer sentido).
Suponha então que a senha do site A sejade alguma forma comprometida ... talvez um funcionário mal-intencionado do site A ou um vazamento de segurança. Isso significa que a senha do site B também foi efetivamente comprometida ou não existe "semelhança de senha" nesse contexto? Faz alguma diferença se o compromisso no site A foi um vazamento de texto sem formatação ou uma versão com hash?
Michael deveria se preocupar se sua situação hipotética acontecer?
A resposta
Os colaboradores do SuperUser ajudaram a esclarecer o problema para Michael. O colaborador do superusuário Queso escreve:
Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto não criptografado versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não é impossível, especialmente se o hash não tiver sal. Consulte as tabelas do arco-íris).
Quanto à questão da similaridade, seriadepende do que o atacante sabe sobre você. Se eu receber sua senha no site A e se souber que você usa certos padrões para criar nomes de usuário ou outros, posso tentar as mesmas convenções sobre senhas nos sites que você usa.
Como alternativa, nas senhas fornecidas acima,se eu, como invasor, vir um padrão óbvio que posso usar para separar uma parte específica da site da senha da parte genérica da senha, eu definitivamente farei essa parte de um ataque de senha personalizado feito sob medida para você.
Como exemplo, digamos que você tenha um super segurosenha como 58htg% HF! c. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para ter senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear seu facebook e obter facebook58htg% HF! c Vou ver esse padrão e usá-lo em outros sites que acho que você pode usar.
Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha?
Outro colaborador do Superusuário, Michael Trausch, explica como, na maioria das situações, a situação hipotética não é motivo de preocupação:
Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto não criptografado versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não é impossível, especialmente se o hash não tiver sal. Consulte as tabelas do arco-íris).
Quanto à questão da similaridade, seriadepende do que o atacante sabe sobre você. Se eu receber sua senha no site A e se souber que você usa certos padrões para criar nomes de usuário ou outros, posso tentar as mesmas convenções sobre senhas nos sites que você usa.
Como alternativa, nas senhas fornecidas acima,se eu, como invasor, vir um padrão óbvio que posso usar para separar uma parte específica da site da senha da parte genérica da senha, eu definitivamente farei essa parte de um ataque de senha personalizado feito sob medida para você.
Como exemplo, digamos que você tenha um super segurosenha como 58htg% HF! c. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para ter senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear seu facebook e obter facebook58htg% HF! c Vou ver esse padrão e usá-lo em outros sites que acho que você pode usar.
Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha?
Se você está preocupado com sua senha atualComo a lista não é diversa e aleatória o suficiente, é altamente recomendável consultar nosso abrangente guia de segurança de senhas: Como recuperar depois que sua senha de e-mail foi comprometida. Ao refazer suas listas de senhas como se a mãe de todas as senhas, sua senha de email, tivesse sido comprometida, é fácil atualizar rapidamente seu portfólio de senhas.
Tem algo a acrescentar à explicação? Som desligado nos comentários. Deseja ler mais respostas de outros usuários do Stack Exchange com conhecimento técnico? Confira o tópico de discussão completo aqui.
