Sekiranya Salah Satu Kata Laluan Saya Dikompromikan Adakah Kata Laluan Lain Saya Terganggu?
Jika salah satu kata laluan anda dikompromi, apakah itu bermakna bahawa kata laluan anda yang lain juga dikompromi? Walaupun terdapat beberapa pemboleh ubah yang bermain, persoalannya adalah melihat yang menarik pada apa yang membuat kata laluan terdedah dan apa yang boleh anda lakukan untuk melindungi diri anda.
Sesi Soalan & Jawapan hari ini datang kepada kami dengan hormat SuperUser-satu bahagian pembahagian Stack Exchange, kumpulan pemanduan komuniti laman web Q & A.
Soalan
Pembaca SuperUser Michael McGowan ingin tahu sejauh mana mencapai kesan pelanggaran kata laluan tunggal; dia menulis:
Katakan pengguna menggunakan kata laluan selamat di tapak A dan kata laluan selamat yang sama tetapi serupa di tapak B. Mungkin sesuatu seperti
mySecure12 # PasswordAdi tapak A danmySecure12 # PasswordBdi tapak B (jangan gunakan definisi "persamaan" yang berbeza jika masuk akal).Katakanlah bahawa kata laluan untuk tapak A entah bagaimana dikompromikan ... mungkin pekerja yang berniat jahat di tapak A atau kebocoran keselamatan. Adakah ini bermakna bahawa kata laluan B laman telah dikompromikan dengan berkesan, atau tidak ada perkara seperti "kata laluan persamaan" dalam konteks ini? Adakah ia membuat apa-apa perbezaan sama ada kompromi di tapak A adalah kebocoran teks biasa atau versi hashed?
Sekiranya Michael bimbang sekiranya keadaan hipotetisnya berlalu?
Jawapan
Penyumbang SuperUser membantu menyelesaikan isu Michael. Penyumbang Superuser Queso menulis:
Untuk menjawab bahagian terakhir dahulu: Ya, ia akan membuat perbezaan jika data yang didedahkan adalah cleartext vs. hashed. Dalam hash, jika anda menukar satu aksara, keseluruhan hash adalah sama sekali berbeza. Satu-satunya cara penyerang akan mengetahui kata laluan itu adalah dengan memaksakan hash (tidak mustahil, terutamanya jika hash tidak diselaraskan. Lihat jadual pelangi).
Setakat persoalan persamaan, ia bergantung kepada apa yang diketahui oleh penyerang tentang anda. Jika saya dapat kata laluan anda di tapak A dan jika saya tahu anda menggunakan pola tertentu untuk membuat nama pengguna atau sebagainya, saya boleh mencuba konvensyen yang sama pada kata laluan di tapak yang anda gunakan.
Selain itu, dalam kata laluan yang anda berikan di atas, jika saya sebagai penyerang melihat corak yang jelas yang boleh saya gunakan untuk memisahkan bahagian kata laluan yang spesifik tapak dari bahagian kata laluan generik, saya pasti akan menjadikan bahagian itu sebagai kata laluan tersuai khusus disesuaikan kepada kamu.
Sebagai contoh, katakan anda mempunyai kata laluan super selamat seperti 58htg% HF! C. Untuk menggunakan kata laluan ini di laman web yang berbeza, anda menambah item khusus laman pada awalnya, supaya anda mempunyai kata laluan seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, anda boleh bertaruh jika saya hack facebook anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di laman web lain yang saya dapati bahawa anda boleh menggunakan.
Ia semuanya jatuh ke corak. Adakah penyerang melihat corak di bahagian khusus tapak dan bahagian generik kata laluan anda?
Satu lagi penyumbang Superuser, Michael Trausch, menerangkan bagaimana dalam kebanyakan situasi situasi hipotetikal tidak banyak menjadi perhatian:
Untuk menjawab bahagian terakhir dahulu: Ya, ia akan membuat perbezaan jika data yang didedahkan adalah cleartext vs. hashed. Dalam hash, jika anda menukar satu aksara, keseluruhan hash adalah sama sekali berbeza. Satu-satunya cara penyerang akan mengetahui kata laluan itu adalah dengan memaksakan hash (tidak mustahil, terutamanya jika hash tidak diselaraskan. Lihat jadual pelangi).
Setakat persoalan persamaan, ia bergantung kepada apa yang diketahui oleh penyerang tentang anda. Jika saya dapat kata laluan anda di tapak A dan jika saya tahu anda menggunakan pola tertentu untuk membuat nama pengguna atau sebagainya, saya boleh mencuba konvensyen yang sama pada kata laluan di tapak yang anda gunakan.
Selain itu, dalam kata laluan yang anda berikan di atas, jika saya sebagai penyerang melihat corak yang jelas yang boleh saya gunakan untuk memisahkan bahagian kata laluan yang spesifik tapak dari bahagian kata laluan generik, saya pasti akan menjadikan bahagian itu sebagai kata laluan tersuai khusus disesuaikan kepada kamu.
Sebagai contoh, katakan anda mempunyai kata laluan super selamat seperti 58htg% HF! C. Untuk menggunakan kata laluan ini di laman web yang berbeza, anda menambah item khusus laman pada awalnya, supaya anda mempunyai kata laluan seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, anda boleh bertaruh jika saya hack facebook anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di laman web lain yang saya dapati bahawa anda boleh menggunakan.
Ia semuanya jatuh ke corak. Adakah penyerang melihat corak di bahagian khusus tapak dan bahagian generik kata laluan anda?
Jika anda khuatir bahawa senarai kata laluan semasa anda tidak pelbagai dan rawak, kami sangat mengesyorkan menyemak panduan keselamatan kata laluan kami yang komprehensif: Bagaimana Untuk Memulihkan Selepas Kata Laluan E-mel Anda Dikompromikan. Dengan mengulang semula senarai kata laluan anda seolah-olah ibu semua kata laluan, kata laluan e-mel anda, telah dikompromikan, mudah untuk membawa portfolio kata laluan anda dengan cepat untuk mempercepatkan.
Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.
