Domača » kako » Če je eden od mojih gesel ogrožena Ali so moja druga gesla ogrožena?

    Če je eden od mojih gesel ogrožena Ali so moja druga gesla ogrožena?

    Če je eno od gesel ogroženo, ali to samodejno pomeni, da so ogrožena tudi vaša druga gesla? Čeprav je v igri kar nekaj spremenljivk, je vprašanje zanimiv pogled na to, kaj je geslo ranljivo in kaj lahko storite, da se zaščitite.

    Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki združuje skupino spletnih mest za vprašanja in odgovore.

    Vprašanje

    Reader SuperUser Michael McGowan je radoveden, kako daleč je dosežen učinek posamezne kršitve gesel; on piše:

    Recimo, da uporabnik uporablja varno geslo na spletnem mestu A in drugo, vendar podobno varno geslo na strani B. Mogoče nekaj podobnega mySecure12 # PasswordA na mestu A in. \ t mySecure12 # PasswordB na spletnem mestu B (lahko uporabite drugačno opredelitev »podobnosti«, če je to smiselno).

    Recimo, da je geslo za spletno mesto A nekako ogroženo ... morda zlonamerni uslužbenec spletnega mesta A ali varnostno puščanje. Ali to pomeni, da je bilo geslo spletnega mesta B prav tako ogroženo, ali pa v tem kontekstu ni podobnosti, kot je "podobnost gesel"? Ali je vsekakor pomembno, ali je bil kompromis na spletnem mestu A uhajanje v preprostem besedilu ali razpršena različica?

    Naj Michael skrbi, če pride do njegove hipotetične situacije?

    Odgovor

    Sodelavci SuperUser so pomagali razjasniti vprašanje za Michaela. Avtorica prispevka super uporabnika Queso piše:

    Če želite najprej odgovoriti na zadnji del: Da, bi bilo pomembno, če bi razkriti podatki bili jasni in zgoščeni. V razpršitvi, če spremenite posamezen znak, je celotna razpršenost popolnoma drugačna. Edini način, na katerega bi napadalec vedel, da je geslo brutalno silo, je, da hašiš (ni nemogoče, še posebej, če je hash nesat. Glejte mavrične tabele).

    Kar zadeva vprašanje podobnosti, bi bilo odvisno od tega, kaj napadalec ve o vas. Če geslo dobim na spletnem mestu A in če vem, da uporabljate določene vzorce za ustvarjanje uporabniških imen, lahko poskusim te iste konvencije o geslih na spletnih mestih, ki jih uporabljate.

    Druga možnost je, da v geslih, ki ste jih navedli zgoraj, če jaz kot napadalec vidim očiten vzorec, ki ga lahko uporabim za ločevanje dela gesla, ki je specifičen za spletno mesto, od dela splošnega gesla, bom zagotovo naredil ta del napake po meri. tebi.

    Primer: recimo, da imate super varno geslo, kot je 58htg% HF! C. Če želite uporabiti to geslo na različnih spletnih mestih, dodate element, ki je specifičen za spletno mesto, na začetek, tako da imate gesla, kot so: facebook58htg% HF! C, wellsfargo58htg% HF! C ali gmail58htg% HF! C, lahko stavite, če kramp vaš facebook in dobili facebook58htg% HF! c bom videti, da vzorec in ga uporabite na drugih straneh se mi zdi, da lahko uporabite.

    Vse se zlije na vzorce. Ali bo napadalec videl vzorec v delu, ki je specifičen za spletno mesto, in splošni del gesla?

    Naslednji sodelavec podjetja Superuser, Michael Trausch, pojasnjuje, kako v večini primerov hipotetična situacija ni razlog za zaskrbljenost:

    Če želite najprej odgovoriti na zadnji del: Da, bi bilo pomembno, če bi razkriti podatki bili jasni in zgoščeni. V razpršitvi, če spremenite posamezen znak, je celotna razpršenost popolnoma drugačna. Edini način, na katerega bi napadalec vedel, da je geslo brutalno silo, je, da hašiš (ni nemogoče, še posebej, če je hash nesat. Glejte mavrične tabele).

    Kar zadeva vprašanje podobnosti, bi bilo odvisno od tega, kaj napadalec ve o vas. Če geslo dobim na spletnem mestu A in če vem, da uporabljate določene vzorce za ustvarjanje uporabniških imen, lahko poskusim te iste konvencije o geslih na spletnih mestih, ki jih uporabljate.

    Druga možnost je, da v geslih, ki ste jih navedli zgoraj, če jaz kot napadalec vidim očiten vzorec, ki ga lahko uporabim za ločevanje dela gesla, ki je specifičen za spletno mesto, od dela splošnega gesla, bom zagotovo naredil ta del napake po meri. tebi.

    Primer: recimo, da imate super varno geslo, kot je 58htg% HF! C. Če želite uporabiti to geslo na različnih spletnih mestih, dodate element, ki je specifičen za spletno mesto, na začetek, tako da imate gesla, kot so: facebook58htg% HF! C, wellsfargo58htg% HF! C ali gmail58htg% HF! C, lahko stavite, če kramp vaš facebook in dobili facebook58htg% HF! c bom videti, da vzorec in ga uporabite na drugih straneh se mi zdi, da lahko uporabite.

    Vse se zlije na vzorce. Ali bo napadalec videl vzorec v delu, ki je specifičen za spletno mesto, in splošni del gesla?

    Če ste zaskrbljeni, da ste trenutno geslo seznam ni raznolika in naključno dovolj, mi zelo priporočamo, da preverite našo celovito geslo varnostni vodnik: Kako obnoviti, ko je vaše geslo ogrožena. S spremembo seznamov gesel, kot če bi bila mati vseh gesel, vaše geslo za e-pošto, ogrožena, je enostavno hitro prenesti portfelj z gesli.


    Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.