Hvis et av mine passord er kompromittert, er mine andre passord kompromittert for?

Innholdsfortegnelse:

Hvis et av mine passord er kompromittert, er mine andre passord kompromittert for?
Hvis et av mine passord er kompromittert, er mine andre passord kompromittert for?

Video: Hvis et av mine passord er kompromittert, er mine andre passord kompromittert for?

Video: Hvis et av mine passord er kompromittert, er mine andre passord kompromittert for?
Video: Synology Integration with macOS and iOS | Synology Webinar - YouTube 2024, April
Anonim

Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en community-drive-gruppering av Q & A-nettsteder.

Spørsmålet

SuperUser leser Michael McGowan er nysgjerrig på hvor langt nå effekten av et enkelt passordbrudd er; han skriver:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

på stedet A og

mySecure12#PasswordB

på nettsted B (gjerne bruke en annen definisjon av "likhet" hvis det er fornuftig).

Anta da at passordet for nettsted A på en eller annen måte er skadet … kanskje en ondsinnet ansatt på nettsted A eller en sikkerhetslekkasje. Betyr dette at passordet til nettsted B faktisk har blitt kompromittert, eller er det ikke noe slikt som "passord likhet" i denne sammenheng? Gjør det noen forskjell om kompromisset på nettsted A var en vanlig tekstlekkasje eller en hashed-versjon?

Skal Michael bekymre seg om hans hypotetiske situasjon kommer til å passere?

Svaret

SuperUser-bidragsytere bidro til å løse problemet for Michael. Superbruker bidragsyter Queso skriver:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

En annen Superuser-bidragsyter, Michael Trausch, forklarer hvordan i de fleste situasjoner den hypotetiske situasjonen ikke er stor grunn til bekymring:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Hvis du er bekymret for at din nåværende passordliste ikke er variert og tilfeldig nok, anbefaler vi sterkt å sjekke ut vår omfattende passord sikkerhetsguide: Slik gjenoppretter du etter at ditt e-postpassord er kompromittert. Ved å omarbeide passordlistene som om moren til alle passordene, ditt e-postpassord, er blitt kompromittert, er det enkelt å raskt ta med passordporteføljen din i rask tempo.

Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.

Anbefalt:

Hvorfor kan jeg bare brenne 80 minutter med musikk til en CD hvis mine MP3-er tar opp mindre enn 700 MB plass?

Hvorfor kan jeg bare brenne 80 minutter med musikk til en CD hvis mine MP3-er tar opp mindre enn 700 MB plass?

Når du brenner en CD, kan du enten brenne den som en datafil eller en lyd-CD. En data-CD kan holde opptil 700 MB, mens en lyd-CD kan holde 80 minutters lyd. Hvis du har 200 MB MP3-filer som gir opptil tre timers musikk, kan du fortsatt brenne kun 80 minutter på platen. Hvorfor det?

Hva å gjøre hvis du glemmer din Android-telefonens PIN, Mønster eller Passord

Hva å gjøre hvis du glemmer din Android-telefonens PIN, Mønster eller Passord

Android sikrer normalt enheten din ved å kreve en PIN, et mønster eller et fullstendig passord. Telefonen din er ikke ubrukelig hvis du glemmer opplåsningskoden - du kan omgå det og komme deg inn igjen.

Hvordan midlertidig låse PCen din hvis noen prøver å gjette ditt passord

Hvordan midlertidig låse PCen din hvis noen prøver å gjette ditt passord

Hvis du er bekymret for noen som prøver å gjette Windows-passordet ditt, kan du få Windows til midlertidig å blokkere påloggingsforsøk etter et bestemt antall mislykkede forsøk.

Kan Google-ansatte se mine lagrede Google Chrome-passord?

Kan Google-ansatte se mine lagrede Google Chrome-passord?

Lagring av passordene i nettleseren din virker som en god tidsbesparende, men er passordene trygge og utilgjengelige for andre (selv ansatte i nettleserfirmaet) når det er ekornet bort?

Gjenopprett WiFi passord i Windows med WiFi Passord Dump & WiFi Passord Decryptor

Gjenopprett WiFi passord i Windows med WiFi Passord Dump & WiFi Passord Decryptor

WiFi Password Dump & WiFi Password Decryptor er to freeware som vil hjelpe deg å gjenopprette glemte Wi-Fi passord i Windows 8 | 7. Last ned dem gratis.