Если пароль скомпрометирован," подобный " пароль также скомпрометирован?

предположим, пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. может быть, что-то вроде mySecure12#PasswordA на сайте и mySecure12#PasswordB на сайте B (не стесняйтесь использовать другое определение "сходства", если это имеет смысл).

предположим, что пароль для сайта A каким-то образом скомпрометирован...возможно, злоумышленник с сайта А или утечка информации. Означает ли это, что пароль сайта B также был скомпрометирован или нет такого вещь как "сходство паролей" в этом контексте? Имеет ли значение, был ли компромисс на сайте A утечкой обычного текста или хешированной версией?

5
задан Michael McGowan
23.05.2023 17:27 Количество просмотров материала 2562
Распечатать страницу

4 ответа

чтобы ответить на последнюю часть первой: Да, было бы иметь значение, если бы раскрытые данные были открытым текстом против хэша. В хэше, если вы изменяете один символ, весь хэш полностью отличается. Единственный способ злоумышленник будет знать пароль, чтобы перебрать хэш (не невозможно, особенно если хэш несоленого. см.радужные таблицы).

Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или таких, я могу попробовать те же соглашения о паролях на сайтах, которые вы используете.

в качестве альтернативы, в паролях, которые вы даете выше, если я, как злоумышленник, вижу очевидный шаблон, который я могу использовать, чтобы отделить определенную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть пользовательской атаки пароля с учетом вас.

в качестве примера, скажем, у вас есть супер безопасный пароль, как 58htg%HF!С. Чтобы использовать этот пароль на разных сайтах, вы добавляете в начало специфичный для сайта элемент, чтобы у вас были пароли, такие как: facebook58htg%HF!c, wellsfargo58htg%HF!c, или gmail58htg%HF!c, вы можете поспорить, если я взломаю ваш facebook и получу facebook58htg%HF!c я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.

все сводится к модели. Будет ли злоумышленник видеть шаблон в части сайта и общей части твой пароль?

38
отвечен queso 2023-05-25 01:15

Это действительно зависит от того, что вы клоните!

существует произвольное количество методов для определения того, похож ли пароль на другой. Допустим, вы используете пароль карты, а то как-то кто-то один и тот же (или просто знает, какой у вас есть). Если они скомпрометируют один из ваших паролей и увидят, что это всего лишь строка в карточке пароля, они, вероятно, догадаются (возможно, даже правильно), что ваши пароли все производные от этой карты аналогичным образом.

но для большинства вещей это вообще не проблема. Если ваш пароль на сервисе a отличается от пароля на сервисе B только одним символом, и обе службы безопасны (например, хранят соленые хэши для вашего пароля вместо прямого хэша или самого открытого текста), то "вычислительно неосуществимо" определить, похожи ли Пароли, не говоря уже о том, насколько они похожи.

короткий ответ таков: если ваши пароли следуют какому-либо шаблону, то да, вполне вероятно, что компромисс одного пароля приведет к компромиссу других. Однако это не означает, что это будет возможно сделать. До тех пор, пока вы:

  1. никогда не используйте тот же пароль для нескольких служб,
  2. ввести какой-то случайный (хотя бы немного) элемент в генерацию ваших паролей, и
  3. никогда не передавать и не сохранять пароли в открытом виде

вы должны быть в порядке. И не забывайте всегда иметь разные пароли для разных сервисов-не просто использовать один и тот же пароль для всего, и даже не использовать один и тот же пароль дважды. Важно, чтобы защититься от глупых компаний, которые отказываются следовать лучшим практикам, когда дело доходит до хранения пользовательских данных, таких как пароли.

11
отвечен Michael Trausch 2023-05-25 03:32

мой ответ:да. Например: strongpassword+game.com скомпрометирован,

Если я attaquer, то действительно легко для меня понять картину вы использовали и попробовать его на других вебсайтах. Например, strongpassword+paypal.com

Аргх!....

для того чтобы исправить это, я лично использую:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

используя математические свойства о хэше (я использую sha1), зная первый пароль трудно обнаружить strongpassword и второй пароль.

Если вы палочку более подробную информацию, я сделал запись в блоге о безопасности паролей, которые отвечают именно на ваш вопрос:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Я также сделал некоторые инструменты, чтобы сделать его легче управляет всем мой пароль, потому что вы должны быть в состоянии изменить скомпрометирован пароль, помните, что максимальная длина пароля и т. д...

7
отвечен yogsototh 2023-05-25 05:49

Это зависит от того, что вас беспокоит. Для широкомасштабной, автоматизированной атаки с использованием учетных данных с одного сайта на другие злоумышленник сначала пойдет за самой простой частью - людьми, использующими точно такой же пароль. Как только это будет исчерпано, если атака все еще остается незамеченной, злоумышленник будет искать то, что он считает общими шаблонами-вероятно, что-то вроде базового пароля + сайта.

умный нападающий, который уверен, что ее первоначальная атака (тот, который получил ваши пароли) остался незамеченным бы сделать эту обработку перед использованием паролей она добыта. В этом случае любая предсказуемая модификация опасна, насколько она очевидна для злоумышленника.

Если ваш пароль, скажем, префикс плюс случайный элемент и злоумышленник подозревает этого, и злоумышленник имеет свой хэш пароля на другом сайте, они могут получить другой пароль немного раньше.

вы можете создавать свои пароли с помощью хэширование что-то предсказуемое, но если эта практика станет распространенной или вы получите личное внимание от своего злоумышленника, это вас не спасет. В некотором смысле сила пароля является вопросом популярности арбитража.

tl;dr не делайте ничего детерминированного.

4
отвечен dhasenan 2023-05-25 08:06

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх