หากรหัสผ่านของฉันอันใดอันหนึ่งถูกบุกรุก
หากรหัสผ่านตัวใดตัวหนึ่งของคุณถูกบุกรุกหมายความว่ารหัสผ่านอื่นของคุณถูกบุกรุกด้วยโดยอัตโนมัติหรือไม่? ในขณะที่มีตัวแปรที่เล่นค่อนข้างน้อยคำถามก็คือดูน่าสนใจในสิ่งที่ทำให้รหัสผ่านมีความเสี่ยงและสิ่งที่คุณสามารถทำได้เพื่อป้องกันตัวเอง.
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มไดรฟ์ชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน SuperUser Michael McGowan อยากรู้ว่าการละเมิดรหัสผ่านครั้งเดียวนั้นไกลแค่ไหน เขาเขียน:
สมมติว่าผู้ใช้ใช้รหัสผ่านที่ปลอดภัยที่ไซต์ A และรหัสผ่านที่ปลอดภัย แต่คล้ายกันที่ไซต์ B อาจเป็นสิ่งที่ต้องการ
mySecure12 # PasswordA
บนไซต์ A และmySecure12 # PasswordB
บนไซต์ B (รู้สึกอิสระที่จะใช้คำจำกัดความที่แตกต่างของ“ ความเหมือนกัน” ถ้ามันสมเหตุสมผล).สมมติว่ารหัสผ่านสำหรับไซต์ A ถูกบุกรุก ... อาจเป็นพนักงานที่เป็นอันตรายของไซต์ A หรือมีการรั่วไหลของความปลอดภัย นี่หมายความว่ารหัสผ่านของไซต์ B นั้นถูกบุกรุกอย่างมีประสิทธิภาพเช่นกันหรือไม่มี "ความคล้ายคลึงกันของรหัสผ่าน" ในบริบทนี้หรือไม่ มันสร้างความแตกต่างไม่ว่าการประนีประนอมในไซต์ A เป็นการรั่วไหลของข้อความธรรมดาหรือรุ่นที่ถูกแฮช?
ไมเคิลควรกังวลหากสถานการณ์สมมุติของเขาเกิดขึ้น?
คำตอบ
ผู้มีส่วนร่วม SuperUser ช่วยแก้ไขปัญหาให้กับ Michael ผู้สนับสนุน Superuser Queso เขียน:
หากต้องการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นเป็นข้อความที่ชัดเจนกับแฮช ในแฮชหากคุณเปลี่ยนอักขระเดียวแฮชทั้งหมดจะแตกต่างกันโดยสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับใช้การแฮช (ไม่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากการแฮชไม่ได้ดูที่ตารางสายรุ้ง).
เท่าที่คำถามที่คล้ายคลึงกันมันจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ ถ้าฉันได้รับรหัสผ่านของคุณที่ไซต์ A และถ้าฉันรู้ว่าคุณใช้รูปแบบบางอย่างสำหรับการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้วิธีการเดียวกันกับรหัสผ่านในเว็บไซต์ที่คุณใช้.
อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นถ้าฉันเป็นผู้โจมตีเห็นรูปแบบที่ชัดเจนที่ฉันสามารถใช้เพื่อแยกส่วนของรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้การโจมตีด้วยรหัสผ่านแบบกำหนดเองนั้นเหมาะ ถึงคุณ.
ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยเป็นพิเศษเช่น 58htg% HF! c ในการใช้รหัสผ่านนี้ในเว็บไซต์ต่าง ๆ คุณเพิ่มรายการเฉพาะไซต์ไว้ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น: facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้หากฉัน แฮ็ค Facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นที่ฉันพบว่าคุณอาจใช้.
ทุกอย่างลงมาเพื่อรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่?
Michael Trausch ผู้สนับสนุน Superuser อีกคนอธิบายว่าในสถานการณ์ส่วนใหญ่สถานการณ์สมมุติไม่ได้เป็นสาเหตุของความกังวล:
หากต้องการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นเป็นข้อความที่ชัดเจนกับแฮช ในแฮชหากคุณเปลี่ยนอักขระเดียวแฮชทั้งหมดจะแตกต่างกันโดยสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับใช้การแฮช (ไม่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากการแฮชไม่ได้ดูที่ตารางสายรุ้ง).
เท่าที่คำถามที่คล้ายคลึงกันมันจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ ถ้าฉันได้รับรหัสผ่านของคุณที่ไซต์ A และถ้าฉันรู้ว่าคุณใช้รูปแบบบางอย่างสำหรับการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้วิธีการเดียวกันกับรหัสผ่านในเว็บไซต์ที่คุณใช้.
อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นถ้าฉันเป็นผู้โจมตีเห็นรูปแบบที่ชัดเจนที่ฉันสามารถใช้เพื่อแยกส่วนของรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้การโจมตีด้วยรหัสผ่านแบบกำหนดเองนั้นเหมาะ ถึงคุณ.
ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยเป็นพิเศษเช่น 58htg% HF! c ในการใช้รหัสผ่านนี้ในเว็บไซต์ต่าง ๆ คุณเพิ่มรายการเฉพาะไซต์ไว้ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น: facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้หากฉัน แฮ็ค Facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้ในเว็บไซต์อื่นที่ฉันพบว่าคุณอาจใช้.
ทุกอย่างลงมาเพื่อรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่?
หากคุณกังวลว่ารายการรหัสผ่านปัจจุบันของคุณไม่หลากหลายและสุ่มพอเราขอแนะนำให้ตรวจสอบคู่มือการรักษาความปลอดภัยรหัสผ่านที่ครอบคลุมของเรา: วิธีการกู้คืนหลังจากรหัสผ่านอีเมลของคุณถูกบุกรุก ด้วยการทำรายการรหัสผ่านของคุณใหม่ราวกับว่าแม่ของรหัสผ่านทั้งหมดรหัสผ่านอีเมลของคุณถูกบุกรุกมันง่ายที่จะเพิ่มพอร์ตโฟลิโอรหัสผ่านของคุณอย่างรวดเร็ว.
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.