Nếu một mật khẩu bị xâm phạm, thì một mật khẩu tương tự có thể bị xâm phạm hay không?


37

Giả sử người dùng sử dụng mật khẩu an toàn tại trang A và mật khẩu bảo mật khác nhưng tương tự tại trang B. Có thể giống như mySecure12#PasswordAtrên trang A và mySecure12#PasswordBtrên trang B (vui lòng sử dụng định nghĩa khác về "tương tự" nếu có ý nghĩa).

Giả sử sau đó mật khẩu cho trang A bằng cách nào đó bị xâm phạm ... có thể là nhân viên độc hại của trang A hoặc rò rỉ bảo mật. Điều này có nghĩa là mật khẩu của trang B cũng đã bị xâm phạm một cách hiệu quả, hay không có thứ gọi là "tương tự mật khẩu" trong ngữ cảnh này? Liệu có bất kỳ sự khác biệt nào cho dù sự thỏa hiệp trên trang A là một rò rỉ văn bản đơn giản hay một phiên bản băm?

Câu trả lời:


38

Để trả lời phần cuối cùng trước: Có, nó sẽ tạo ra sự khác biệt nếu dữ liệu được tiết lộ là Cleartext so với băm. Trong một hàm băm, nếu bạn thay đổi một ký tự đơn, toàn bộ hàm băm hoàn toàn khác nhau. Cách duy nhất kẻ tấn công sẽ biết mật khẩu là vũ phu băm (không phải là không thể, đặc biệt là nếu băm không được đánh dấu. Xem bảng cầu vồng ).

Theo như câu hỏi tương tự, nó sẽ phụ thuộc vào những gì kẻ tấn công biết về bạn. Nếu tôi nhận được mật khẩu của bạn trên trang A và nếu tôi biết bạn sử dụng một số mẫu nhất định để tạo tên người dùng hoặc như vậy, tôi có thể thử các quy ước tương tự về mật khẩu trên các trang web bạn sử dụng.

Ngoài ra, trong các mật khẩu bạn cung cấp ở trên, nếu tôi là kẻ tấn công thấy một mẫu rõ ràng mà tôi có thể sử dụng để tách một phần mật khẩu dành riêng cho trang web khỏi phần mật khẩu chung, tôi chắc chắn sẽ biến phần đó của tấn công mật khẩu tùy chỉnh để bạn

Ví dụ: giả sử bạn có mật khẩu siêu an toàn như 58htg% HF! C. Để sử dụng mật khẩu này trên các trang web khác nhau, bạn hãy thêm một mục cụ thể vào trang web để bắt đầu, để bạn có mật khẩu như: facebook58htg% HF! C, giếngfargo58htg% HF! C hoặc gmail58htg% HF! C, bạn có thể đặt cược nếu tôi hack facebook của bạn và nhận facebook58htg% HF! c Tôi sẽ thấy mô hình đó và sử dụng nó trên các trang web khác tôi thấy rằng bạn có thể sử dụng.

Tất cả đều đi xuống các mẫu. Kẻ tấn công sẽ nhìn thấy một mẫu trong phần cụ thể của trang web và phần chung của mật khẩu của bạn?


4
bạn chỉ khiến mật khẩu mặc định của tôi ở mọi nơi 58htg%HF!ctrở nên vô dụng, cảm ơn rất nhiều
Tobias Kienzler

1
Ồ Tỷ lệ cược là gì? Đừng đi ra ngoài trong bất kỳ cơn bão sét trong một thời gian.
queso

hm, tôi nên chơi xổ số mặc dù: -7 (+1 btw)
Tobias Kienzler

11

Nó thực sự phụ thuộc vào những gì bạn đang nhận được!

Có một số phương thức tùy ý để xác định xem mật khẩu có giống với mật khẩu khác hay không. Ví dụ, giả sử bạn sử dụng thẻ mật khẩu và bằng cách nào đó, người khác có cùng một thẻ (hoặc chỉ đơn giản là biết bạn có thẻ nào). Nếu họ thỏa hiệp một trong những mật khẩu của bạn và có thể thấy rằng đó chỉ là một dòng thẻ mật khẩu, họ có khả năng đoán (thậm chí có thể chính xác) rằng tất cả mật khẩu của bạn đều được lấy từ thẻ đó theo cách tương tự.

Nhưng, đối với hầu hết mọi thứ, điều này thực sự không phải là một vấn đề. Nếu mật khẩu của bạn trên dịch vụ A khác với mật khẩu trên dịch vụ B chỉ bởi một ký tự duy nhất và cả hai dịch vụ đều được bảo mật (ví dụ: lưu trữ băm muối cho mật khẩu của bạn thay vì băm thẳng hoặc chính bản rõ) thì đó là tính toán không thể tính toán được để xác định xem các mật khẩu có giống nhau không, hãy để chúng giống nhau như thế nào.

Một câu trả lời ngắn gọn là: Nếu mật khẩu của bạn tuân theo bất kỳ kiểu mẫu nào, thì có, có khả năng sự thỏa hiệp của một mật khẩu sẽ dẫn đến sự thỏa hiệp của người khác. Tuy nhiên, điều đó không có nghĩa là nó sẽ khả thi để làm điều đó. Miễn là bạn:

  1. Không bao giờ sử dụng cùng một mật khẩu cho nhiều hơn một dịch vụ,
  2. Giới thiệu một số yếu tố ngẫu nhiên (dù chỉ một chút) vào việc tạo mật khẩu của bạn và
  3. Không bao giờ truyền hoặc lưu mật khẩu của bạn trong Cleartext

Bạn nên được tốt. Và hãy nhớ luôn có mật khẩu khác nhau cho các dịch vụ khác nhau, đơn giản là không sử dụng cùng một mật khẩu cho mọi thứ và thậm chí không sử dụng cùng một mật khẩu hai lần. Điều quan trọng là phải bảo vệ chống lại các công ty ngu ngốc từ chối tuân theo các thực tiễn tốt nhất khi nói đến việc lưu trữ dữ liệu người dùng như mật khẩu.


7

Câu trả lời ngắn gọn của tôi là . Ví dụ: strongpassword + game.com bị xâm phạm,

Nếu tôi là một người tham gia, tôi thực sự dễ dàng hiểu được mẫu bạn đã sử dụng và thử nó trên các trang web khác. Ví dụ: mật khẩu mạnh + paypal.com

Argh! ....

Để khắc phục điều này, cá nhân tôi sử dụng:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Sử dụng các thuộc tính toán học về hàm băm (tôi sử dụng sha1), biết mật khẩu đầu tiên rất khó để phát hiện ra mật khẩu và mật khẩu thứ hai.

Nếu bạn biết thêm chi tiết, tôi đã tạo một mục blog về bảo mật mật khẩu, câu trả lời chính xác cho câu hỏi của bạn:

http://yannesposeito.com/Scratch/en/blog/Password-Quản lý /

Tôi cũng đã tạo một số công cụ để giúp quản lý tất cả mật khẩu của mình dễ dàng hơn, bởi vì bạn cần có thể thay đổi mật khẩu bị xâm nhập, hãy nhớ độ dài tối đa của mật khẩu, v.v ...


1
SHA-1 không còn được coi là an toàn về mặt toán học.
Hello71

4
@ Hello71 bạn có nguồn nào cho việc đó không? Tôi tò mò muốn đọc thêm.
nhinkle

tinsology.net/2010/12/is-sha1-still-viable phải thừa nhận là một trường hợp hạn chế, nhưng có khả năng tìm kiếm trên 6 ký tự đầu tiên của keyspace một cách nhanh chóng trên thuê nguồn lực phương tiện một người nào đó với botnet và các bảng cầu vồng có lẽ có thể làm nhiều hơn . Theo nguyên tắc chung, tất cả những thứ khác đều bằng nhau, bất cứ thứ gì băm / mã hóa đều lãng phí hầu hết các chu kỳ CPU để tạo ra sức mạnh là tốt nhất. :)
Stephanie

4

Điều này phụ thuộc vào những gì bạn đang lo lắng. Đối với một cuộc tấn công tự động trên phạm vi rộng, sử dụng thông tin đăng nhập từ một trang web trên các trang web khác, kẻ tấn công sẽ đi sau phần dễ nhất trước tiên - mọi người sử dụng chính xác cùng một mật khẩu. Một khi đã hết, nếu cuộc tấn công vẫn không được chú ý, kẻ tấn công sẽ tìm kiếm những gì anh ta nghĩ là các mẫu phổ biến - có thể là một cái gì đó như mật khẩu cơ sở + trang web.

Một kẻ tấn công thông minh chắc chắn rằng cuộc tấn công ban đầu của cô ấy (người đã lấy mật khẩu của bạn) đã không được chú ý sẽ thực hiện việc xử lý này trước khi sử dụng mật khẩu mà cô ấy khai thác. Trong trường hợp đó, bất kỳ sửa đổi dự đoán nào đều nguy hiểm, theo mức độ rõ ràng của kẻ tấn công.

Nếu mật khẩu của bạn là một tiền tố cộng với một yếu tố ngẫu nhiên kẻ tấn công nghi ngờ điều này kẻ tấn công đã băm mật khẩu của bạn trên một trang web khác, họ có thể lấy mật khẩu khác của bạn sớm hơn một chút.

Bạn có thể tạo mật khẩu của mình bằng cách băm thứ gì đó có thể dự đoán được, nhưng nếu thực tế này trở nên phổ biến hoặc bạn đang nhận được sự chú ý cá nhân từ kẻ tấn công, điều đó sẽ không cứu bạn. Trong một số cách, sức mạnh mật khẩu là một vấn đề trọng tài phổ biến.

tl; dr không làm bất cứ điều gì quyết định.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.