Ако је једна од мојих лозинки компромитована?
Ако је једна од ваших лозинки угрожена, да ли то аутоматски значи да су и ваше друге лозинке угрожене? Иако има доста варијабли у игри, питање је занимљив поглед на оно што чини лозинку рањивом и шта можете учинити да се заштитите.
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подели Стацк Екцханге-а, групне групације К&А веб сајтова у заједници.
Питање
Читач СуперУсер Мицхаел МцГован је знатижељан колико је далекосежан утицај једног кршења лозинке; пише:
Претпоставимо да корисник користи сигурну лозинку на локацији А и другачију, али сличну, сигурну лозинку на локацији Б. Можда нешто слично
миСецуре12 # ПассвордА
на локацији А имиСецуре12 # ПассвордБ
на локацији Б (слободно користите другу дефиницију "сличности" ако има смисла).Претпоставимо онда да је лозинка за сајт А на неки начин компромитована ... можда злонамерни запосленик сајта А или безбедносно цурење. Да ли то значи да је и лозинка сајта Б била ефективно компромитована, или не постоји таква ствар као што је "сличност лозинки" у овом контексту? Да ли је свеједно да ли је компромис на локацији А био цурење обичног текста или хеширана верзија?
Да ли би се Мицхаел требао бринути ако му се догоди његова хипотетичка ситуација?
Одговор
Сурадници СуперУсер-а помогли су да се разјасни проблем за Мицхаела. Доприносилац суперкорисника Куесо пише:
Да бисмо одговорили на последњи део: Да, било би битно ако би обелодањени подаци били јасни у односу на распршивање. У хешу, ако промените један знак, цео хасх је потпуно другачији. Једини начин на који би нападач знао да је лозинка брутална сила је хасх (није немогуће, поготово ако је хасх несалован..
Што се тиче питања сличности, то ће зависити од тога шта нападач зна о вама. Ако добијем вашу лозинку на локацији А и ако знам да користите одређене обрасце за креирање корисничких имена или слично, можда ћу испробати те исте конвенције о лозинкама на веб-локацијама које употребљавате.
Алтернативно, у лозинкама које сте дали горе, ако ја као нападач видим очигледан образац који могу да користим да одвојим део сајта специфичан за локацију од дела генеричке лозинке, дефинитивно ћу направити тај део прилагођеног напада лозинком теби.
На пример, рецимо да имате супер безбедну лозинку као 58хтг% ХФ! Ц. Да бисте користили ову лозинку на различитим локацијама, додајте ставку специфичну за локацију на почетак, тако да имате лозинке као што су: фацебоок58хтг% ХФ! Ц, веллсфарго58хтг% ХФ! Ц, или гмаил58хтг% ХФ! Ц, можете кладити ако хацк иоур фацебоок и гет фацебоок58хтг% ХФ! ц Идем да видим тај образац и да га користим на другим сајтовима које сматрам да можете да користите.
Све се своди на обрасце. Да ли ће нападач видети образац у делу који је специфичан за локацију и општи део ваше лозинке?
Други сарадник Суперусер-а, Мицхаел Траусцх, објашњава како у већини ситуација хипотетичка ситуација није разлог за забринутост:
Да бисмо одговорили на последњи део: Да, било би битно ако би обелодањени подаци били јасни у односу на распршивање. У хешу, ако промените један знак, цео хасх је потпуно другачији. Једини начин на који би нападач знао да је лозинка брутална сила је хасх (није немогуће, поготово ако је хасх несалован..
Што се тиче питања сличности, то ће зависити од тога шта нападач зна о вама. Ако добијем вашу лозинку на локацији А и ако знам да користите одређене обрасце за креирање корисничких имена или слично, можда ћу испробати те исте конвенције о лозинкама на веб-локацијама које употребљавате.
Алтернативно, у лозинкама које сте дали горе, ако ја као нападач видим очигледан образац који могу да користим да одвојим део сајта специфичан за локацију од дела генеричке лозинке, дефинитивно ћу направити тај део прилагођеног напада лозинком теби.
На пример, рецимо да имате супер безбедну лозинку као 58хтг% ХФ! Ц. Да бисте користили ову лозинку на различитим локацијама, додајте ставку специфичну за локацију на почетак, тако да имате лозинке као што су: фацебоок58хтг% ХФ! Ц, веллсфарго58хтг% ХФ! Ц, или гмаил58хтг% ХФ! Ц, можете кладити ако хацк иоур фацебоок и гет фацебоок58хтг% ХФ! ц Идем да видим тај образац и да га користим на другим сајтовима које сматрам да можете да користите.
Све се своди на обрасце. Да ли ће нападач видети образац у делу који је специфичан за локацију и општи део ваше лозинке?
Ако сте забринути да вам тренутна листа лозинки није разноврсна и довољно случајна, препоручујемо вам да проверите наш свеобухватни водич за безбедност лозинки: Како да се опоравим након што је ваша лозинка компромитована. Преправљањем листа лозинки као мајке свих лозинки, ваше лозинке за е-пошту, компромитована је, лако је брзо довести портфељ лозинке до брзине.
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.