Якщо пароль порушений, чи «порушений» пароль також порушений?

Припустимо, користувач використовує захищений пароль на сайті A та інший, але схожий захищений пароль на сайті B. Можливо, щось на кшталт mySecure12#PasswordAсайту A та mySecure12#PasswordBна сайті B (сміливо використовуйте інше визначення "подібності", якщо це має сенс).

Припустимо, що пароль для сайту A якимось чином порушений ... можливо, злісний працівник сайту A або витік безпеки. Чи означає це, що пароль веб-сайту B також був порушений, чи немає в цьому контексті поняття «подібність пароля»? Чи має будь-яке значення, чи був компроміс на сайті A простий текст чи хешований варіант?

Перш за все, щоб відповісти на останню частину: Так, було б важливо, якби розкриті дані були чіткими та хешированими. У хеші, якщо змінити одного символу, весь хеш зовсім інший. Єдиний спосіб, коли зловмисник знає пароль, - це жорстоко змусити хеш (не неможливо, особливо якщо хеш несолоний. Див. Таблиці веселки ).

Що стосується питання подібності, це залежало б від того, що нападник знає про вас. Якщо я отримаю ваш пароль на сайті A і якщо я знаю, що ви використовуєте певні зразки для створення імен користувачів або подібних, я можу спробувати ці ж умови щодо паролів на веб-сайтах, якими ви користуєтесь.

Крім того, у вказаних вище паролях, якщо я як зловмисник бачу очевидний зразок, який я можу використовувати для відокремлення конкретної для сайту частини пароля від загальної частини пароля, я обов'язково зроблю цю частину спеціальної атаки паролів з урахуванням тобі.

Наприклад, скажіть, що у вас є супер захищений пароль на зразок 58htg% HF! C. Щоб використовувати цей пароль на різних сайтах, ви додаєте для початку пункт, що відповідає певному сайту, щоб у вас були паролі типу: facebook58htg% HF! C, wellsfargo58htg% HF! C, або gmail58htg% HF! C, ви можете зробити ставку, якщо я зламати ваш facebook і отримати facebook58htg% HF! c Я збираюся побачити цю схему і використовувати її на інших сайтах, я вважаю, що ви можете використовувати.

Все зводиться до моделей. Чи побачить зловмисник шаблон у певній частині сайту та загальній частині вашого пароля?

Це дійсно залежить від того, до чого ти потрапляєш!

Існує довільна кількість методів визначення того, чи схожий пароль на інший. Скажімо, наприклад, що ви користуєтесь парольною карткою , а хтось ще має таку саму (або просто знає, яку у вас є). Якщо вони компрометують один із ваших паролів і побачать, що це лише ряд внизу картки паролів, вони, швидше за все, здогадаються (можливо, навіть правильно), що ваші паролі отримані з цієї картки подібним чином.

Але для більшості речей це насправді зовсім не проблема. Якщо ваш пароль на службі A відрізняється від пароля на службі B лише одним символом, і обидві служби захищені (наприклад, зберігайте солоні хеші для вашого пароля замість прямого хешу чи самого простого тексту), це "обчислювально нездійсненно" щоб визначити, чи схожі паролі, не кажучи вже про те, наскільки вони схожі.

Коротка відповідь така: Якщо ваші паролі дотримуються будь-якої схеми, то так, цілком ймовірно, що компроміс одного пароля призведе до компромісу інших. Однак це не означає, що це буде можливо зробити. Поки ви:

1. Ніколи не використовуйте один і той же пароль для більше ніж одна служба,
2. Введіть у генерацію ваших паролів якийсь випадковий (навіть хоч трохи) елемент і
3. Ніколи не передайте і не зберігайте ваші паролі в чіткому тексті

Ви повинні бути добре. І пам’ятайте, що завжди є різні паролі для різних служб - не використовуйте один і той же пароль для всіх і навіть не використовуйте один і той же пароль два рази. Важливо захищати від дурних компаній, які відмовляються дотримуватися кращих практик, коли мова йде про зберігання даних користувачів, таких як паролі.

Моя коротка відповідь - ТАК . Наприклад: компрометований strongpassword + game.com,

Якщо я є прихильником, мені дуже легко зрозуміти шаблон, який ви використовували, та спробувати його на інших веб-сайтах. Наприклад, strongpassword + paypal.com

Арга! ....

Для того, щоб виправити це, я особисто використовую:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Використовуючи математичні властивості щодо хешу (я використовую sha1), знаючи перший пароль, важко виявити сильний пароль та другий пароль.

Якщо ви довідаєтесь більше деталей, я зробив запис у блозі про захист паролем, який відповідає саме на ваше запитання:

http://yannesposito.com/Scratch/uk/blog/Password-Management/

Я також зробив кілька інструментів, щоб полегшити керування всім моїм паролем, тому що вам потрібно мати можливість змінити компрометований пароль, запам'ятати максимальну довжину пароля тощо.

Це залежить від того, що ви переживаєте. Для широкомасштабної автоматизованої атаки з використанням облікових даних з одного сайту на інші, зловмисник спершу піде за найпростішою порцією - люди, які використовують абсолютно той самий пароль. Після того, як це вичерпано, якщо напад все ще не помічений, зловмисник шукатиме те, що, на його думку, є загальними зразками - можливо, щось на зразок базового пароля + сайт.

Розумний зловмисник, який впевнений, що її первісна атака (та, яка отримала ваші паролі) пройшла непомітно, зробила б цю обробку перед тим, як використовувати паролі, які вона видобувала. У цьому випадку будь-яка передбачувана модифікація є небезпечною відповідно до того, наскільки це очевидно для нападника.

Якщо ваш пароль, скажімо, префікс плюс випадковий елемент, і зловмисник підозрює це, а зловмисник має хеш вашого пароля на іншому сайті, він може отримати ваш інший пароль трохи раніше.

Ви можете створити свої паролі, перемістивши щось передбачуване, але якщо ця практика взагалі стає загальною або ви отримуєте особисту увагу свого зловмисника, це не врятує вас. У чомусь надійність пароля - це питання популярності арбітражу.

tl; dr не робити нічого детермінованого.