Kui üks minu paroolidest on ohustatud Kas minu teised paroolid on liiga kahjustatud?
Kui mõni teie paroolidest on ohustatud, tähendab see seda, et ka teised paroolid on ohustatud? Kuigi mängus on üsna vähe muutujaid, on küsimus huvitav pilk sellele, mis teeb parooli haavatavaks ja mida saate ennast kaitsta.
Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotus, kogukondliku draivi rühmitus Q&A veebisaitidel.
Küsimus
SuperUser lugeja Michael McGowan on uudishimulik, kui kaugele ulatub ühe parooli rikkumise mõju; ta kirjutab:
Oletame, et kasutaja kasutab saidil A turvalist parooli ja teist, kuid sarnast turvalist parooli saidil B. Võib-olla midagi sellist
mySecure12 # PasswordA
kohapeal A jamySecure12 # PasswordB
kohapeal B (kasutage mõnda mõistet „sarnasuse” mõiste järgi).Oletame siis, et saidi A parool on kuidagi ohustatud ... võib-olla saidi A pahatahtlik töötaja või turvavoog. Kas see tähendab, et saidi B parool on samuti ohustatud või on selles kontekstis „parooli sarnasus”? Kas on mingit vahet, kas A-saidi kompromiss oli lihtteksti leke või räsitud versioon?
Kas Michael peaks muretsema, kui tema hüpoteetiline olukord läheb?
Vastus
SuperUser toetajad aitasid probleemi Michaelile selgeks teha. Superuseri panustaja Queso kirjutab:
Esimesele viimasele osale vastata: jah, see oleks erinev, kui avaldatud andmed oleksid selged tekstid ja räsitud. Hädas, kui muudate ühte märki, on kogu räsi täiesti erinev. Ainus viis, kuidas ründaja parooli tundma hakkab, on räsi jõuline jõud (mitte võimatu, eriti kui räsi on soolamata..
Sarnasuse küsimuses sõltub see sellest, mida ründaja sinust teab. Kui saan parooli saidil A ja kui ma tean, et kasutate kasutajanimede loomiseks teatud mustreid, võin proovida neid samu konventsioone paroolide puhul, mida kasutate.
Teise võimalusena saate ülaltoodud paroolides, kui ma ründajana näen ilmset mustrit, mida ma saan kasutada, et eraldada paroolipõhise parooliosa kohta saidipõhine osa, siis teen kindlasti selle osa kohandatud paroolirünnakust, mis on kohandatud sulle.
Näiteks öelge, et teil on super turvaline parool nagu 58htg% HF! C. Selle parooli kasutamiseks erinevatel saitidel lisate algusse saidipõhise elemendi, nii et teil oleksid paroolid nagu: facebook58htg% HF! C, wellsfargo58htg% HF! C või gmail58htg% HF! C, saate panustada, kui ma hack oma facebook ja saada facebook58htg% HF! c Ma näen seda mustrit ja kasutan seda teistel saitidel, mis minu arvates võivad olla.
See kõik tuleb mustrid. Kas ründaja näeb mustrit saidipõhises osas ja parooli üldises osas?
Teine Superuseri panustaja Michael Trausch selgitab, kuidas enamikus olukordades ei ole hüpoteetiline olukord muret tekitav:
Esimesele viimasele osale vastata: jah, see oleks erinev, kui avaldatud andmed oleksid selged tekstid ja räsitud. Hädas, kui muudate ühte märki, on kogu räsi täiesti erinev. Ainus viis, kuidas ründaja parooli tundma hakkab, on räsi jõuline jõud (mitte võimatu, eriti kui räsi on soolamata..
Sarnasuse küsimuses sõltub see sellest, mida ründaja sinust teab. Kui saan parooli saidil A ja kui ma tean, et kasutate kasutajanimede loomiseks teatud mustreid, võin proovida neid samu konventsioone paroolide puhul, mida kasutate.
Teise võimalusena saate ülaltoodud paroolides, kui ma ründajana näen ilmset mustrit, mida ma saan kasutada, et eraldada paroolipõhise parooliosa kohta saidipõhine osa, siis teen kindlasti selle osa kohandatud paroolirünnakust, mis on kohandatud sulle.
Näiteks öelge, et teil on super turvaline parool nagu 58htg% HF! C. Selle parooli kasutamiseks erinevatel saitidel lisate algusse saidipõhise elemendi, nii et teil oleksid paroolid nagu: facebook58htg% HF! C, wellsfargo58htg% HF! C või gmail58htg% HF! C, saate panustada, kui ma hack oma facebook ja saada facebook58htg% HF! c Ma näen seda mustrit ja kasutan seda teistel saitidel, mis minu arvates võivad olla.
See kõik tuleb mustrid. Kas ründaja näeb mustrit saidipõhises osas ja parooli üldises osas?
Kui olete mures selle pärast, et praegune paroolide nimekiri ei ole piisavalt mitmekesine ja juhuslik, soovitame vaadata läbi meie põhjaliku parooli turvalisuse juhendi: kuidas pärast e-posti parooli taastamist kahjustada. Paroolinimekirjade ümbertöötamisega, nagu oleks kõigi paroolide ema, teie e-posti parool, ohustatud, on lihtne oma parooliportfelli kiiresti kiirendada.
Kas teil on midagi lisada selgitusele? Hääletage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.