Εάν ένας από τους κωδικούς μου είναι συμβιβασμένος Είναι και οι άλλοι μου κωδικοί συμβιβασμένοι;
Εάν ένας από τους κωδικούς πρόσβασής σας είναι συμβιβασμένος, αυτό σημαίνει αυτόματα ότι οι άλλοι κωδικοί πρόσβασης είναι επίσης σε κίνδυνο; Ενώ υπάρχουν αρκετές μεταβλητές στο παιχνίδι, το ερώτημα είναι μια ενδιαφέρουσα ματιά στο τι κάνει τον κωδικό ευάλωτο και τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας.
Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με τον εαυτό μας με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινοτική μονάδα δίσκου των ιστότοπων ερωτήσεων & απαντήσεων.
Το ερώτημα
Ο αναγνώστης SuperUser Michael McGowan είναι περίεργος πόσο μακριά φτάνει η επίδραση μιας ενιαίας παραβίασης του κωδικού πρόσβασης. αυτός γράφει:
Ας υποθέσουμε ότι ένας χρήστης χρησιμοποιεί έναν ασφαλή κωδικό πρόσβασης στην τοποθεσία Α και έναν διαφορετικό αλλά παρόμοιο ασφαλή κωδικό πρόσβασης στον ιστότοπο Β. Ίσως κάτι τέτοιο
mySecure12 # PasswordA
στο χώρο Α καιmySecure12 # PasswordB
στο χώρο Β (διστάσετε να χρησιμοποιήσετε διαφορετικό ορισμό της "ομοιότητας" αν έχει νόημα).Ας υποθέσουμε λοιπόν ότι ο κωδικός πρόσβασης για τον ιστότοπο Α είναι κάπως διακυβευμένος ... ίσως ένας κακόβουλος υπάλληλος της τοποθεσίας Α ή μια διαρροή ασφαλείας. Μήπως αυτό σημαίνει ότι ο κωδικός πρόσβασης του ιστοτόπου Β έχει επίσης συμβιβαστεί, ή δεν υπάρχει τέτοιο πράγμα όπως "ομοιότητα κωδικού πρόσβασης" σε αυτό το πλαίσιο; Μήπως έχει σημασία αν ο συμβιβασμός στον ιστότοπο Α ήταν διαρροή απλού κειμένου ή έκδοση με χαστούκι?
Πρέπει ο Michael να ανησυχεί εάν η υποθετική του κατάσταση έρθει να περάσει?
Η απάντηση
Οι συνεργάτες του SuperUser βοήθησαν να ξεκαθαρίσουν το ζήτημα για τον Michael. Ο συνεργάτης Superuser Queso γράφει:
Για να απαντήσετε πρώτα στο τελευταίο μέρος: Ναι, θα είχε σημασία αν τα στοιχεία που αποκαλύφθηκαν ήταν σαφές κείμενο σε σχέση με το hashed. Σε ένα hash, αν αλλάξετε ένα χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό. Ο μόνος τρόπος που ένας εισβολέας θα ξέρει τον κωδικό είναι να χτυπήσει βίαια το hash (δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος..
Όσον αφορά την ερώτηση ομοιότητας, θα εξαρτηθεί από το τι γνωρίζει ο εισβολέας για εσάς. Αν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα πρότυπα για τη δημιουργία ονομάτων χρηστών ή αυτών, μπορώ να δοκιμάσω τις ίδιες συμβάσεις σχετικά με τους κωδικούς πρόσβασης στους ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στα κωδικούς πρόσβασης σας δώσει παραπάνω, αν μου ως εισβολέα δούμε μια προφανή μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσετε μια site-specific τμήμα του κωδικού πρόσβασης από το γενικό μέρος κωδικό πρόσβασης, θα κάνω σίγουρα το μέρος μιας επίθεσης έθιμο κωδικό προσαρμοσμένες σε εσένα.
Για παράδειγμα, λέτε ότι έχετε έναν σούπερ ασφαλή κωδικό πρόσβασης όπως 58htg% HF! C. Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς τόπους, μπορείτε να προσθέσετε ένα site-specific στοιχείο στην αρχή, έτσι ώστε να έχετε κωδικούς πρόσβασης, όπως:!!! Facebook58htg% HF γ, wellsfargo58htg% HF γ, ή gmail58htg% HF γ, μπορείτε να στοιχηματίσετε αν hack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα. Ο εισβολέας θα δει ένα μοτίβο στο συγκεκριμένο τμήμα και το γενικό τμήμα του κωδικού πρόσβασής σας?
Ένας άλλος συνεργάτης του Superuser, Michael Trausch, εξηγεί πως στις περισσότερες περιπτώσεις η υποθετική κατάσταση δεν προκαλεί ανησυχίες:
Για να απαντήσετε πρώτα στο τελευταίο μέρος: Ναι, θα είχε σημασία αν τα στοιχεία που αποκαλύφθηκαν ήταν σαφές κείμενο σε σχέση με το hashed. Σε ένα hash, αν αλλάξετε ένα χαρακτήρα, ολόκληρο το hash είναι εντελώς διαφορετικό. Ο μόνος τρόπος που ένας εισβολέας θα ξέρει τον κωδικό είναι να χτυπήσει βίαια το hash (δεν είναι αδύνατο, ειδικά αν ο hash δεν είναι αλατισμένος..
Όσον αφορά την ερώτηση ομοιότητας, θα εξαρτηθεί από το τι γνωρίζει ο εισβολέας για εσάς. Αν λάβω τον κωδικό πρόσβασής σας στον ιστότοπο Α και αν γνωρίζω ότι χρησιμοποιείτε συγκεκριμένα πρότυπα για τη δημιουργία ονομάτων χρηστών ή αυτών, μπορώ να δοκιμάσω τις ίδιες συμβάσεις σχετικά με τους κωδικούς πρόσβασης στους ιστότοπους που χρησιμοποιείτε.
Εναλλακτικά, στα κωδικούς πρόσβασης σας δώσει παραπάνω, αν μου ως εισβολέα δούμε μια προφανή μοτίβο που μπορώ να χρησιμοποιήσω για να διαχωρίσετε μια site-specific τμήμα του κωδικού πρόσβασης από το γενικό μέρος κωδικό πρόσβασης, θα κάνω σίγουρα το μέρος μιας επίθεσης έθιμο κωδικό προσαρμοσμένες σε εσένα.
Για παράδειγμα, λέτε ότι έχετε έναν σούπερ ασφαλή κωδικό πρόσβασης όπως 58htg% HF! C. Για να χρησιμοποιήσετε αυτόν τον κωδικό πρόσβασης σε διαφορετικούς τόπους, μπορείτε να προσθέσετε ένα site-specific στοιχείο στην αρχή, έτσι ώστε να έχετε κωδικούς πρόσβασης, όπως:!!! Facebook58htg% HF γ, wellsfargo58htg% HF γ, ή gmail58htg% HF γ, μπορείτε να στοιχηματίσετε αν hack το facebook σας και να πάρετε facebook58htg% HF! c Πάω να δείτε αυτό το μοτίβο και να το χρησιμοποιήσετε σε άλλους δικτυακούς τόπους που βρίσκω ότι μπορείτε να χρησιμοποιήσετε.
Όλα καταλήγουν σε μοτίβα. Ο εισβολέας θα δει ένα μοτίβο στο συγκεκριμένο τμήμα και το γενικό τμήμα του κωδικού πρόσβασής σας?
Αν ανησυχείτε ότι μπορεί τρέχοντα κατάλογο κωδικού πρόσβασης δεν είναι ποικίλα και αρκετά τυχαία, σας συνιστούμε να ελέγξει έξω ολοκληρωμένο οδηγό κωδικό ασφαλείας μας: Πώς να ανακτήσει Μετά E-mail σας Κωδικός διακυβεύεται. Αναβαθμίζοντας τις λίστες κωδικών πρόσβασης, όπως και αν η μητέρα όλων των κωδικών πρόσβασης, ο κωδικός ηλεκτρονικού ταχυδρομείου σας, έχει συμβιβαστεί, είναι εύκολο να μεταφέρετε γρήγορα το χαρτοφυλάκιο κωδικών πρόσβασης.
Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.