Ако је једна од ваших лозинки угрожена, чини сето аутоматски значи да су и друге лозинке такође угрожене? Иако постоји прилично мало променљивих, питање је занимљив поглед на то шта лозинку чини рањивом и шта можете да учините да бисте се заштитили.
Данашња сесија Питања и Одговори стигла нам је из љубазности СуперУсер-а - поделе Стацк Екцханге-а, груписања К&А веб локација које покреће заједница.
Питање
Читач СуперУсера Мицхаел МцГован радознао је колико је далеко достигао утицај кршења једне лозинке; пише:
Претпоставимо да корисник користи сигурну лозинку на локацији А и другу, али сличну сигурну лозинку на веб локацији Б. Можда нешто слично mySecure12#PasswordA на локацији А и mySecure12#PasswordB на локацији Б (слободно користите другачију дефиницију "сличности" ако има смисла).
Претпоставимо да је онда лозинка за веб локацију Ана неки начин компромитован ... можда злонамерни запосленик странице А или безбедносни пропуст. Да ли то значи да је такође угрожена лозинка за веб локацију Б или у овом контексту не постоји сличност са лозинком? Да ли има неке разлике да ли је компромис на локацији А био простаклом верзијом текста или хешираном верзијом?
Да ли би се Мицхаел требао бринути ако се догоди његова хипотетичка ситуација?
Одговор
Доприноси СуперУсера помогли су да се Мицхаел расветли. Суперузер сарадник Куесо пише:
Да бисте прво одговорили на последњи део: Да, било би важно ако би објављени подаци били јасни текст у односу на заглављене. У хасх-у, ако промените један лик, цео хасх је потпуно другачији. Једини начин на који би нападач знао лозинку је да грубо форсира хеш (није немогуће, поготово ако је хасх несољен. Погледајте табеле дуге).
Што се тиче питања сличности, било бизависи од тога шта нападач зна о теби. Ако добијем вашу лозинку на веб локацији А и ако знам да користите одређене обрасце за креирање корисничких имена или слична, могу испробати исте конвенције о лозинкама на веб локацијама које користите.
Алтернативно, у горе наведеним лозинкама,ако ја као нападач видим очигледан образац који могу да употријебим за одвајање дијела лозинке за одређену локацију од дијела генеричке лозинке, дефинитивно ћу направити тај дио прилагођеног напада лозинком прилагођен вама.
Као пример, реците да имате супер обезбеђењелозинка попут 58хтг% ХФ! ц. Да бисте користили ову лозинку на различитим веб локацијама, на почетку додате ставку специфичну за локацију, тако да имате лозинке као што су: фацебоок58хтг% ХФ! Ц, веллсфарго58хтг% ХФ! Ц или гмаил58хтг% ХФ! Ц, можете се кладити ако ја хакирајте ваш фацебоок и набавите фацебоок58хтг% ХФ! ц Ја ћу видјети тај образац и користити га на другим веб локацијама за које сматрам да их можете користити.
Све се своди на шаре. Да ли ће нападач видети образац у делу специфичном за локацију и генеричком делу ваше лозинке?
Други сарадник Суперусера, Мицхаел Траусцх, објашњава како у већини ситуација хипотетичка ситуација није много разлога за забринутост:
Да бисте прво одговорили на последњи део: Да, било би важно ако би објављени подаци били јасни текст у односу на заглављене. У хасх-у, ако промените један лик, цео хасх је потпуно другачији. Једини начин на који би нападач знао лозинку је да грубо форсира хеш (није немогуће, поготово ако је хасх несољен. Погледајте табеле дуге).
Што се тиче питања сличности, било бизависи од тога шта нападач зна о теби. Ако добијем вашу лозинку на веб локацији А и ако знам да користите одређене обрасце за креирање корисничких имена или слична, могу испробати исте конвенције о лозинкама на веб локацијама које користите.
Алтернативно, у горе наведеним лозинкама,ако ја као нападач видим очигледан образац који могу да употријебим за одвајање дијела лозинке за одређену локацију од дијела генеричке лозинке, дефинитивно ћу направити тај дио прилагођеног напада лозинком прилагођен вама.
Као пример, реците да имате супер обезбеђењелозинка попут 58хтг% ХФ! ц. Да бисте користили ову лозинку на различитим веб локацијама, на почетку додате ставку специфичну за локацију, тако да имате лозинке као што су: фацебоок58хтг% ХФ! Ц, веллсфарго58хтг% ХФ! Ц или гмаил58хтг% ХФ! Ц, можете се кладити ако ја хакирајте ваш фацебоок и набавите фацебоок58хтг% ХФ! ц Ја ћу видјети тај образац и користити га на другим веб локацијама за које сматрам да их можете користити.
Све се своди на шаре. Да ли ће нападач видети образац у делу специфичном за локацију и генеричком делу ваше лозинке?
Ако сте забринути због тренутне лозинкелиста није довољно разнолика и случајна, топло препоручујемо да проверите наш свеобухватни водич за безбедност лозинке: Како опоравити након што се угрози ваша лозинка е-поште. Прерађивањем листа ваших лозинки као да је угрожена матична лозинка, ваша лозинка е-поште, лако је брзо убрзати портфељ лозинки.
Имате ли шта додати у објашњење? Звучи у коментарима. Желите ли прочитати више одговора од осталих корисника Стацк Екцханге-а на техничким потребама? Погледајте целу тему дискусије овде.
