Hvis et af mine adgangskoder er kompromitteret, er mine andre adgangskoder kompromitteret for?
Hvis et af dine adgangskoder er kompromitteret, betyder det automatisk, at dine andre adgangskoder også bliver kompromitteret? Selv om der er et par variabler til spil, er spørgsmålet et interessant kig på, hvad der gør et kodeord sårbart, og hvad du kan gøre for at beskytte dig selv.
Dagens Spørgsmål og Svar session kommer til os med venlig hilsen af SuperUser-en underafdeling af Stack Exchange, en community-drive gruppering af Q & A websteder.
Spørgsmålet
SuperUser-læser Michael McGowan er nysgerrig, hvor langt nået virkningen af en enkelt adgangskodebrud er; han skriver:
Antag en bruger bruger en sikker adgangskode på webstedet A og et andet men lignende sikkert kodeord på webstedet B. Måske noget som
mySecure12 # PasswordA
på stedet A ogmySecure12 # PASSWORDB
på websted B (vær så velkommen til at bruge en anden definition af "lighed", hvis det giver mening).Antag så, at adgangskoden til websted A på en eller anden måde er kompromitteret ... måske en ondsindet medarbejder på webstedet A eller en sikkerhedslækage. Betyder dette, at webstedets B-adgangskode faktisk er blevet kompromitteret, eller er der ikke noget som "adgangskode lighed" i denne sammenhæng? Gør det nogen forskel om kompromiset på websted A var en plain-text lækage eller en hashed version?
Skal Michael bekymre sig om hans hypotetiske situation kommer til at ske?
Svaret
SuperUser bidragsydere hjalp med at løse problemet for Michael. Superbruger bidragyder Queso skriver:
For at besvare den sidste del først: Ja, det ville gøre en forskel, hvis de viste data var cleartext vs hashed. I en hash, hvis du ændrer en enkelt karakter, er hele hash helt anderledes. Den eneste måde, en angriber ville kende adgangskoden på, er at brute force the hash (ikke umuligt, især hvis hash er usaltet. Se regnbueborde).
Hvad angår lighedsproblemet, vil det afhænge af, hvad angriberen ved om dig. Hvis jeg får dit kodeord på webstedet A, og hvis jeg ved, at du bruger bestemte mønstre til oprettelse af brugernavne eller lignende, kan jeg prøve de samme konventioner på adgangskoder på websteder, du bruger.
Alternativt kan jeg i de adgangskoder, du giver ovenfor, se, om jeg som en angriber ser et indlysende mønster, som jeg kan bruge til at adskille en site-specifik del af adgangskoden fra den generiske adgangskode, jeg vil helt sikkert gøre den del af en brugerdefineret adgangskode angreb skræddersyet til dig.
For eksempel, siger du har en super sikker adgangskode som 58htg% HF! C. For at bruge denne adgangskode på forskellige websteder, tilføjer du et webstedsspecifikt element i begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satse om jeg hack din facebook og få facebook58htg% HF! c Jeg kommer til at se dette mønster og bruge det på andre websteder, jeg finder ud af at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den webstedsspecifikke del og generiske del af din adgangskode?
En anden superbruger bidragyder, Michael Trausch, forklarer, hvordan den hypotetiske situation i de fleste situationer ikke giver anledning til bekymring:
For at besvare den sidste del først: Ja, det ville gøre en forskel, hvis de viste data var cleartext vs hashed. I en hash, hvis du ændrer en enkelt karakter, er hele hash helt anderledes. Den eneste måde, en angriber ville kende adgangskoden på, er at brute force the hash (ikke umuligt, især hvis hash er usaltet. Se regnbueborde).
Hvad angår lighedsproblemet, vil det afhænge af, hvad angriberen ved om dig. Hvis jeg får dit kodeord på webstedet A, og hvis jeg ved, at du bruger bestemte mønstre til oprettelse af brugernavne eller lignende, kan jeg prøve de samme konventioner på adgangskoder på websteder, du bruger.
Alternativt kan jeg i de adgangskoder, du giver ovenfor, se, om jeg som en angriber ser et indlysende mønster, som jeg kan bruge til at adskille en site-specifik del af adgangskoden fra den generiske adgangskode, jeg vil helt sikkert gøre den del af en brugerdefineret adgangskode angreb skræddersyet til dig.
For eksempel, siger du har en super sikker adgangskode som 58htg% HF! C. For at bruge denne adgangskode på forskellige websteder, tilføjer du et webstedsspecifikt element i begyndelsen, så du har adgangskoder som: facebook58htg% HF! C, wellsfargo58htg% HF! C eller gmail58htg% HF! C, du kan satse om jeg hack din facebook og få facebook58htg% HF! c Jeg kommer til at se dette mønster og bruge det på andre websteder, jeg finder ud af at du kan bruge.
Det hele kommer ned på mønstre. Vil angriberen se et mønster i den webstedsspecifikke del og generiske del af din adgangskode?
Hvis du er bekymret for, at din nuværende adgangskode liste ikke er forskelligartet og tilfældig nok, anbefaler vi stærkt, at du tjekker vores omfattende adgangskode sikkerhedsguide: Sådan genopretter du efter din e-mail-adgangskode er kompromitteret. Ved at omarbejde din adgangskode lister som om moderen til alle adgangskoder, din e-mail-adgangskode, er blevet kompromitteret, er det nemt at hurtigt medbringe din adgangskodeportefølje hurtigt.
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.