Jeśli hasło zostanie naruszone, czy hasło „podobne” również zostanie naruszone?


37

Załóżmy, że użytkownik używa bezpiecznego hasła w witrynie A i innego, ale podobnego bezpiecznego hasła w witrynie B. Może coś takiego jak mySecure12#PasswordAw witrynie A i mySecure12#PasswordBw witrynie B (możesz zastosować inną definicję „podobieństwa”, jeśli ma to sens).

Załóżmy, że hasło do witryny A zostało w jakiś sposób naruszone ... może złośliwy pracownik witryny A lub wyciek zabezpieczeń. Czy to oznacza, że ​​hasło do witryny B również zostało skutecznie naruszone, czy też nie ma czegoś takiego jak „podobieństwo hasła” w tym kontekście? Czy ma to jakiekolwiek znaczenie, czy kompromis w witrynie A był przeciekiem zwykłego tekstu czy wersją mieszaną?

Odpowiedzi:


38

Aby odpowiedzieć na ostatnią część w pierwszej kolejności: Tak, różnica byłaby, gdyby ujawnione dane były czystym tekstem vs. W skrócie, jeśli zmienisz pojedynczy znak, cały skrót jest zupełnie inny. Jedynym sposobem, w jaki osoba atakująca zna hasło, jest brutalne wymuszenie skrótu (nie jest to niemożliwe, zwłaszcza jeśli skrót jest niesolony. Zobacz tabele tęczy ).

Jeśli chodzi o pytanie o podobieństwo, będzie to zależeć od tego, co atakujący wie o tobie. Jeśli otrzymam twoje hasło na stronie A i jeśli wiem, że używasz pewnych wzorców do tworzenia nazw użytkowników, mogę wypróbować te same konwencje dotyczące haseł w witrynach, z których korzystasz.

Ewentualnie w podanych wyżej hasłach, jeśli jako atakujący widzę oczywisty wzorzec, którego mogę użyć do oddzielenia części hasła specyficznej dla witryny od części hasła ogólnego, na pewno dostosuję tę część niestandardowego ataku hasłem do indywidualnych potrzeb do Ciebie.

Na przykład powiedz, że masz super bezpieczne hasło, takie jak 58htg% HF! C. Aby użyć tego hasła w różnych witrynach, na początku dodajesz element specyficzny dla witryny, dzięki czemu masz hasła takie jak: facebook58htg% HF! C, wellsfargo58htg% HF! C lub gmail58htg% HF! C, możesz się założyć, jeśli I zhakuj swojego facebooka i uzyskaj facebook58htg% HF! c Idę zobaczyć ten wzór i użyć go na innych stronach, które mogą być używane.

Wszystko sprowadza się do wzorów. Czy atakujący zobaczy wzór w części dotyczącej witryny i ogólnej części hasła?


4
właśnie uczyniłeś moje domyślne hasło 58htg%HF!cbezużytecznym, wielkie dzięki
Tobias Kienzler

1
Łał! Jakie były szanse? Nie wychodź przez chwilę w burzę z piorunami.
queso,

hm, powinienem jednak zagrać na loterii: -7 (+1 btw)
Tobias Kienzler

11

To naprawdę zależy od tego, do czego zmierzasz!

Istnieje dowolna liczba metod określania, czy hasło jest podobne do innego. Powiedzmy na przykład, że używasz karty hasła i że w jakiś sposób ktoś inny ją ma (lub po prostu wie, którą masz). Jeśli naruszą jedno z twoich haseł i zobaczą, że jest to tylko rząd kart z hasłem, prawdopodobnie zgadną (może nawet poprawnie), że wszystkie hasła pochodzą z tej karty w podobny sposób.

Ale w przypadku większości rzeczy to wcale nie jest problem. Jeśli twoje hasło w usłudze A różni się od hasła w usłudze B tylko jednym znakiem, a obie usługi są bezpieczne (np. Przechowuj solone skróty dla hasła zamiast prostego skrótu lub samego tekstu jawnego), oznacza to, że jest „niewykonalne obliczeniowo” aby ustalić, czy hasła są podobne, nie mówiąc już o tym, jak podobne są.

Krótka odpowiedź brzmi: jeśli hasła są zgodne z jakimkolwiek wzorcem, to tak, prawdopodobne jest, że kompromis jednego hasła doprowadzi do kompromisu innych. Nie oznacza to jednak, że będzie to możliwe. Tak długo jak ty:

  1. Nigdy nie używaj tego samego hasła do więcej niż jednej usługi,
  2. Wprowadź losowy (choćby nieznacznie) element do generowania haseł i
  3. Nigdy nie przesyłaj ani nie zapisuj swoich haseł w postaci czystego tekstu

Powinieneś być w porządku. I pamiętaj, aby zawsze mieć różne hasła do różnych usług - nie używaj po prostu tego samego hasła do wszystkiego i nie używaj tego samego hasła dwa razy. Ważne jest, aby chronić się przed głupimi firmami, które odmawiają przestrzegania najlepszych praktyk w zakresie przechowywania danych użytkowników, takich jak hasła.


7

Moja krótka odpowiedź brzmi TAK . Na przykład: włamano się na strongpassword + game.com,

Jeśli jestem zawodnikiem, bardzo łatwo jest mi zrozumieć wzór, którego użyłeś i wypróbować go na innych stronach internetowych. Na przykład strongpassword + paypal.com

Argh! ....

Aby to naprawić, osobiście używam:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Używając właściwości matematycznych dotyczących skrótu (używam sha1), znając pierwsze hasło, trudno jest znaleźć silne hasło i drugie hasło.

Jeśli podasz więcej szczegółów, napisałem wpis na blogu o zabezpieczeniu hasłem, który odpowiada dokładnie na twoje pytanie:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Zrobiłem też kilka narzędzi, aby ułatwić zarządzanie całym moim hasłem, ponieważ musisz mieć możliwość zmiany hasła, pamiętaj o maksymalnej długości hasła itp.


1
SHA-1 nie jest już uważany za matematycznie bezpieczny.
Cześć71,

4
@ Hello71 czy masz na to źródło? Chciałbym przeczytać więcej.
nhinkle

tinsology.net/2010/12/is-sha1-still-viable wprawdzie ograniczony przypadek, ale możliwość przeszukania pierwszych 6 znaków obszaru klawiszy, które szybko na wynajętych zasobach oznacza, że ​​ktoś z botnetami i tęczowymi stołami może prawdopodobnie zrobić znacznie więcej . Zasadą jest, że wszystkie inne rzeczy są takie same, bez względu na to, że jakiekolwiek mieszanie / szyfrowanie marnuje najwięcej cykli procesora, aby brutalna siła była najlepsza. :)
Stephanie

4

To zależy od tego, czym się martwisz. W przypadku zakrojonego na szeroką skalę automatycznego ataku przy użyciu poświadczeń z jednej witryny na drugiej, atakujący najpierw zajmie się najłatwiejszą częścią - osobami używającymi dokładnie tego samego hasła. Gdy zostanie to wyczerpane, jeśli atak nadal pozostaje niezauważony, atakujący będzie szukał tego, co uważa za wspólne wzorce - prawdopodobnie coś w rodzaju hasła podstawowego + strony.

Sprytna osoba atakująca, która jest pewna, że ​​jej pierwotny atak (ten, który dostał twoje hasła) nie został zauważony, wykona to przetwarzanie przed użyciem haseł, które wydobyła. W takim przypadku każda przewidywalna modyfikacja jest niebezpieczna, w zależności od tego, jak oczywista jest dla atakującego.

Jeśli twoje hasło to, powiedzmy, prefiks plus element losowy, a osoba atakująca podejrzewa to, a osoba atakująca ma hash hasła w innej witrynie, może uzyskać inne hasło nieco wcześniej.

Możesz stworzyć swoje hasło, mieszając coś przewidywalnego, ale jeśli ta praktyka stanie się powszechna lub otrzymasz osobistą uwagę od atakującego, to cię nie uratuje. Pod pewnymi względami siła hasła jest kwestią arbitrażu popularności.

tl; dr nie rób nic deterministycznego.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.