โฮมเพจ » ทำอย่างไร » หากรหัสผ่านของฉันอันใดอันหนึ่งถูกบุกรุก

    หากรหัสผ่านของฉันอันใดอันหนึ่งถูกบุกรุก

    หากรหัสผ่านตัวใดตัวหนึ่งของคุณถูกบุกรุกหมายความว่ารหัสผ่านอื่นของคุณถูกบุกรุกด้วยโดยอัตโนมัติหรือไม่? ในขณะที่มีตัวแปรที่เล่นค่อนข้างน้อยคำถามก็คือดูน่าสนใจในสิ่งที่ทำให้รหัสผ่านมีความเสี่ยงและสิ่งที่คุณสามารถทำได้เพื่อป้องกันตัวเอง.

    เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มไดรฟ์ชุมชนของเว็บไซต์ถาม - ตอบ.

    คำถาม

    ผู้อ่าน SuperUser Michael McGowan อยากรู้ว่าการละเมิดรหัสผ่านครั้งเดียวนั้นไกลแค่ไหน เขาเขียน:

    สมมติว่าผู้ใช้ใช้รหัสผ่านที่ปลอดภัยที่ไซต์ A และรหัสผ่านที่ปลอดภัย แต่คล้ายกันที่ไซต์ B อาจเป็นสิ่งที่ต้องการ mySecure12 # PasswordA บนไซต์ A และ mySecure12 # PasswordB บนไซต์ B (รู้สึกอิสระที่จะใช้คำจำกัดความที่แตกต่างของ“ ความเหมือนกัน” ถ้ามันสมเหตุสมผล).

    สมมติว่ารหัสผ่านสำหรับไซต์ A ถูกบุกรุก ... อาจเป็นพนักงานที่เป็นอันตรายของไซต์ A หรือมีการรั่วไหลของความปลอดภัย นี่หมายความว่ารหัสผ่านของไซต์ B นั้นถูกบุกรุกอย่างมีประสิทธิภาพเช่นกันหรือไม่มี "ความคล้ายคลึงกันของรหัสผ่าน" ในบริบทนี้หรือไม่ มันสร้างความแตกต่างไม่ว่าการประนีประนอมในไซต์ A เป็นการรั่วไหลของข้อความธรรมดาหรือรุ่นที่ถูกแฮช?

    ไมเคิลควรกังวลหากสถานการณ์สมมุติของเขาเกิดขึ้น?

    คำตอบ

    ผู้มีส่วนร่วม SuperUser ช่วยแก้ไขปัญหาให้กับ Michael ผู้สนับสนุน Superuser Queso เขียน:

    หากต้องการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นเป็นข้อความที่ชัดเจนกับแฮช ในแฮชหากคุณเปลี่ยนอักขระเดียวแฮชทั้งหมดจะแตกต่างกันโดยสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับใช้การแฮช (ไม่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากการแฮชไม่ได้ดูที่ตารางสายรุ้ง).

    เท่าที่คำถามที่คล้ายคลึงกันมันจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ ถ้าฉันได้รับรหัสผ่านของคุณที่ไซต์ A และถ้าฉันรู้ว่าคุณใช้รูปแบบบางอย่างสำหรับการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้วิธีการเดียวกันกับรหัสผ่านในเว็บไซต์ที่คุณใช้.

    อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นถ้าฉันเป็นผู้โจมตีเห็นรูปแบบที่ชัดเจนที่ฉันสามารถใช้เพื่อแยกส่วนของรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้การโจมตีด้วยรหัสผ่านแบบกำหนดเองนั้นเหมาะ ถึงคุณ.

    ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยเป็นพิเศษเช่น 58htg% HF! c ในการใช้รหัสผ่านนี้ในเว็บไซต์ต่าง ๆ คุณเพิ่มรายการเฉพาะไซต์ไว้ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น: facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้หากฉัน แฮ็ค Facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นที่ฉันพบว่าคุณอาจใช้.

    ทุกอย่างลงมาเพื่อรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่?

    Michael Trausch ผู้สนับสนุน Superuser อีกคนอธิบายว่าในสถานการณ์ส่วนใหญ่สถานการณ์สมมุติไม่ได้เป็นสาเหตุของความกังวล:

    หากต้องการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นเป็นข้อความที่ชัดเจนกับแฮช ในแฮชหากคุณเปลี่ยนอักขระเดียวแฮชทั้งหมดจะแตกต่างกันโดยสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับใช้การแฮช (ไม่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากการแฮชไม่ได้ดูที่ตารางสายรุ้ง).

    เท่าที่คำถามที่คล้ายคลึงกันมันจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ ถ้าฉันได้รับรหัสผ่านของคุณที่ไซต์ A และถ้าฉันรู้ว่าคุณใช้รูปแบบบางอย่างสำหรับการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้วิธีการเดียวกันกับรหัสผ่านในเว็บไซต์ที่คุณใช้.

    อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นถ้าฉันเป็นผู้โจมตีเห็นรูปแบบที่ชัดเจนที่ฉันสามารถใช้เพื่อแยกส่วนของรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้การโจมตีด้วยรหัสผ่านแบบกำหนดเองนั้นเหมาะ ถึงคุณ.

    ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยเป็นพิเศษเช่น 58htg% HF! c ในการใช้รหัสผ่านนี้ในเว็บไซต์ต่าง ๆ คุณเพิ่มรายการเฉพาะไซต์ไว้ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น: facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้หากฉัน แฮ็ค Facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นที่ฉันพบว่าคุณอาจใช้.

    ทุกอย่างลงมาเพื่อรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่?

    หากคุณกังวลว่ารายการรหัสผ่านปัจจุบันของคุณไม่หลากหลายและสุ่มพอเราขอแนะนำให้ตรวจสอบคู่มือการรักษาความปลอดภัยรหัสผ่านที่ครอบคลุมของเรา: วิธีการกู้คืนหลังจากรหัสผ่านอีเมลของคุณถูกบุกรุก ด้วยการทำรายการรหัสผ่านของคุณใหม่ราวกับว่าแม่ของรหัสผ่านทั้งหมดรหัสผ่านอีเมลของคุณถูกบุกรุกมันง่ายที่จะเพิ่มพอร์ตโฟลิโอรหัสผ่านของคุณอย่างรวดเร็ว.


    มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.