Se una delle mie password è compromessa, anche le mie altre password sono compromesse?
Se una delle tue password è compromessa, significa automaticamente che anche le altre tue password sono compromesse? Mentre ci sono alcune variabili in gioco, la domanda è uno sguardo interessante su cosa rende vulnerabile una password e cosa puoi fare per proteggerti.
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte di community-drive.
La domanda
Il lettore SuperUser Michael McGowan è curioso di sapere fino a che punto è l'impatto di una singola violazione della password; lui scrive:
Supponiamo che un utente utilizzi una password sicura nel sito A e una password sicura diversa ma simile nel sito B. Forse qualcosa del genere
mySecure12 # PasswordA
sul sito A emySecure12 # PASSWORDB
sul sito B (sentiti libero di usare una definizione diversa di "similarità" se ha senso).Supponiamo quindi che la password per il sito A sia in qualche modo compromessa ... forse un dipendente malintenzionato del sito A o una perdita di sicurezza. Questo significa che la password del sito B è stata effettivamente compromessa, o non esiste una "somiglianza password" in questo contesto? Fa alcuna differenza se il compromesso sul sito A era una perdita di testo normale o una versione con hash?
Michael dovrebbe preoccuparsi se la sua situazione ipotetica si verificasse?
La risposta
I contributori di SuperUser hanno aiutato a chiarire il problema per Michael. Il collaboratore di Superuser Queso scrive:
Prima di rispondere all'ultima parte: Sì, farebbe la differenza se i dati rivelati fossero chiari rispetto a hash. In un hash, se cambi un singolo carattere, l'intero hash è completamente diverso. L'unico modo in cui un utente malintenzionato dovrebbe conoscere la password è quello di forzare l'hash (non impossibile, soprattutto se l'hash non è salito..
Per quanto riguarda la domanda di somiglianza, dipenderà da ciò che l'attaccante sa di te. Se ottengo la tua password sul sito A e se so che usi determinati schemi per la creazione di nomi utente o simili, posso provare le stesse convenzioni sulle password dei siti che usi.
In alternativa, nelle password fornite sopra, se io come utente malintenzionato vedo uno schema ovvio che posso utilizzare per separare una parte specifica della password dalla parte della password generica, farò sicuramente la parte di un attacco personalizzato di password su misura a te.
Ad esempio, supponiamo di avere una password super sicura come 58htg% HF! C. Per utilizzare questa password su siti diversi, aggiungi all'inizio un elemento specifico del sito, in modo da avere password come: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puoi scommettere se io modifica il tuo facebook e ottieni facebook58htg% HF! c Vedrò quel modello e lo userei su altri siti che trovo che potresti usare.
Tutto si riduce a schemi. L'attaccante vedrà uno schema nella porzione specifica del sito e nella parte generica della password?
Un altro collaboratore di Superuser, Michael Trausch, spiega come nella maggior parte delle situazioni la situazione ipotetica non sia molto preoccupante:
Prima di rispondere all'ultima parte: Sì, farebbe la differenza se i dati rivelati fossero chiari rispetto a hash. In un hash, se cambi un singolo carattere, l'intero hash è completamente diverso. L'unico modo in cui un utente malintenzionato dovrebbe conoscere la password è quello di forzare l'hash (non impossibile, soprattutto se l'hash non è salito..
Per quanto riguarda la domanda di somiglianza, dipenderà da ciò che l'attaccante sa di te. Se ottengo la tua password sul sito A e se so che usi determinati schemi per la creazione di nomi utente o simili, posso provare le stesse convenzioni sulle password dei siti che usi.
In alternativa, nelle password fornite sopra, se io come utente malintenzionato vedo uno schema ovvio che posso utilizzare per separare una parte specifica della password dalla parte della password generica, farò sicuramente la parte di un attacco personalizzato di password su misura a te.
Ad esempio, supponiamo di avere una password super sicura come 58htg% HF! C. Per utilizzare questa password su siti diversi, aggiungi all'inizio un elemento specifico del sito, in modo da avere password come: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puoi scommettere se io modifica il tuo facebook e ottieni facebook58htg% HF! c Vedrò quel modello e lo userei su altri siti che trovo che potresti usare.
Tutto si riduce a schemi. L'attaccante vedrà uno schema nella porzione specifica del sito e nella parte generica della password?
Se sei preoccupato che l'attuale elenco delle password non sia vario e abbastanza casuale, ti consigliamo vivamente di consultare la nostra guida completa sulla sicurezza delle password: Come recuperare dopo che la tua password email è stata compromessa. Rielaborando i tuoi elenchi di password come se la madre di tutte le password, la tua password di posta elettronica, sia stata compromessa, è facile portare rapidamente il tuo portfolio di password alla velocità.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.