אם אחת הסיסמאות שלי נפגעת הן סיסמאות אחרות שלי התפשר גם?

אם אחת הסיסמאות שלך נפגעת, האם זה אומר אוטומטית שגם הסיסמאות האחרות שלך נפגעות? אמנם יש לא מעט משתנים לשחק, השאלה היא מבט מעניין על מה עושה סיסמה פגיע ומה אתה יכול לעשות כדי להגן על עצמך.

מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ קהילתי של אתרי Q & A.

השאלה

SuperUser הקורא מייקל McGowan הוא סקרן עד כמה רחוק להגיע ההשפעה של הפרה סיסמה אחת היא; הוא כותב:

נניח שמשתמש משתמש בסיסמה מאובטחת באתר A וסיסמא מאובטחת אחרת אבל דומה באתר ב 'אולי משהו כמו MySecure12 # סיסמה באתר א mySecure12 # PasswordB באתר B (אל תהסס להשתמש בהגדרה אחרת של "דמיון" אם זה הגיוני).

נניח שהסיסמה עבור האתר א 'נפגעת איכשהו ... אולי עובד זדוני של אתר א' או דליפת אבטחה. האם זה אומר שהסיסמה של האתר B נפגעה באופן יעיל, או שמא אין "דמיון סיסמה" בהקשר זה? האם זה משנה אם הפשרה באתר א 'היתה דליפת טקסט רגיל או גרסה hashed?

מייקל צריך לדאוג אם המצב ההיפותטי שלו יתרחש?

התשובה

מומחי SuperUser עזרו לנקות את הבעיה עבור מייקל. סופר עוזרת Queso כותב:

כדי לענות על החלק האחרון הראשון: כן, זה היה משנה אם הנתונים שנחשפו היו קלרטקסט לעומת hashed. ב hash, אם תשנה דמות אחת, חשיש כולו שונה לחלוטין. הדרך היחידה שבה התוקף היה יודע את הסיסמה היא כוח הזרוע חשיש (לא בלתי אפשרי, במיוחד אם החשיש הוא ללא מלחץ) לראות טבלאות הקשת).

בכל הנוגע לשאלה הדמיון, זה יהיה תלוי מה התוקף יודע עלייך. אם אני מקבל את הסיסמה שלך באתר א 'ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות אותן מוסכמות על סיסמאות באתרים שבהם אתה משתמש.

לחלופין, את הסיסמאות שאתה נותן לעיל, אם אני בתור תוקף לראות דפוס ברור שאני יכול להשתמש בו כדי להפריד חלק מסוים באתר של הסיסמה מן החלק הסיסמה הגנרית, אני בהחלט להפוך את החלק של התקפה סיסמה מותאמת אישית לך.

לדוגמה, נניח שיש לך סיסמה מאובטחת כמו 58htg% HF! C. כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר לתחילתו, כך שיש לך סיסמאות כגון: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להתערב אם אני לפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! ג אני הולך לראות את זה דפוס ולהשתמש בו באתרים אחרים אני מוצא כי ניתן להשתמש.

הכל מסתכם בדפוסים. האם התוקף יראה תבנית בחלק הספציפי לאתר ואת החלק הגנרי של הסיסמה שלך?

תורם נוסף, מייקל טראוש, מסביר כיצד ברוב המקרים המצב ההיפותטי אינו גורם רב לדאגה:

כדי לענות על החלק האחרון הראשון: כן, זה היה משנה אם הנתונים שנחשפו היו קלרטקסט לעומת hashed. ב hash, אם תשנה דמות אחת, חשיש כולו שונה לחלוטין. הדרך היחידה שבה התוקף היה יודע את הסיסמה היא כוח הזרוע חשיש (לא בלתי אפשרי, במיוחד אם החשיש הוא ללא מלחץ) לראות טבלאות הקשת).

בכל הנוגע לשאלה הדמיון, זה יהיה תלוי מה התוקף יודע עלייך. אם אני מקבל את הסיסמה שלך באתר א 'ואם אני יודע שאתה משתמש בדפוסים מסוימים ליצירת שמות משתמש או כאלה, אני יכול לנסות אותן מוסכמות על סיסמאות באתרים שבהם אתה משתמש.

לחלופין, את הסיסמאות שאתה נותן לעיל, אם אני בתור תוקף לראות דפוס ברור שאני יכול להשתמש בו כדי להפריד חלק מסוים באתר של הסיסמה מן החלק הסיסמה הגנרית, אני בהחלט להפוך את החלק של התקפה סיסמה מותאמת אישית לך.

לדוגמה, נניח שיש לך סיסמה מאובטחת כמו 58htg% HF! C. כדי להשתמש בסיסמה זו באתרים שונים, אתה מוסיף פריט ספציפי לאתר לתחילתו, כך שיש לך סיסמאות כגון: facebook58htg% HF! C, wellsfargo58htg% HF! C, או gmail58htg% HF! C, אתה יכול להתערב אם אני לפרוץ את הפייסבוק שלך ולקבל facebook58htg% HF! ג אני הולך לראות את זה דפוס ולהשתמש בו באתרים אחרים אני מוצא כי ניתן להשתמש.

הכל מסתכם בדפוסים. האם התוקף יראה תבנית בחלק הספציפי לאתר ואת החלק הגנרי של הסיסמה שלך?

אם אתה מודאג כי רשימת הסיסמאות הנוכחית היא לא מגוונת אקראית מספיק, אנו ממליצים בחום לבדוק את המדריך מקיף אבטחה הסיסמה: כיצד לשחזר לאחר הסיסמה הדוא"ל שלך מתפשר. על ידי עיבוד מחדש של רשימות הסיסמה שלך, כמו אם של כל הסיסמאות, את הסיסמה הדוא"ל שלך, כבר בסכנה, קל להביא במהירות את תיקיית הסיסמה שלך עד מהירות.

יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.