Если пароль скомпрометирован, скомпрометирован ли «аналогичный» пароль?

1650
Michael McGowan

Предположим, что пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. Может быть, что-то похожее mySecure12#PasswordAна сайт A и mySecure12#PasswordBна сайт B (не стесняйтесь использовать другое определение «сходства», если это имеет смысл).

Предположим, что пароль для сайта A каким-то образом скомпрометирован ... может быть, злонамеренный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был эффективно скомпрометирован, или в этом контексте не существует такой вещи, как «сходство паролей»? Имеет ли какое-то значение, был ли компромисс на сайте A утечкой простого текста или хешированной версией?

37

4 ответа на вопрос

38
queso

Сначала ответим на последнюю часть: Да, было бы важно, если бы раскрываемые данные были открытым текстом или хешированием. В хэше, если вы измените один символ, весь хэш будет совершенно другим. Единственный способ, которым злоумышленник узнает пароль, - это взломать хэш (это невозможно, особенно если хэш несоленый. См. Радужные таблицы ).

Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или тому подобное, я могу попробовать те же соглашения в отношении паролей на сайтах, которые вы используете.

В качестве альтернативы, в паролях, которые вы приводите выше, если я как злоумышленник вижу очевидный шаблон, который я могу использовать, чтобы отделить специфичную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть атаки с использованием специального пароля специально тебе.

Например, скажем, у вас есть супер-безопасный пароль, например 58htg% HF! C. Чтобы использовать этот пароль на разных сайтах, вы добавляете элемент, специфичный для сайта, в начале, чтобы у вас были пароли, такие как: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, вы можете сделать ставку, если я взломайте ваш facebook и получите facebook58htg% HF! c Я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.

Все сводится к шаблонам. Увидит ли злоумышленник шаблон в определенной для сайта части и общую часть вашего пароля?

Вы только что предоставили мой пароль по умолчанию везде `58htg% HF! c`, бесполезный, большое спасибо Tobias Kienzler 12 лет назад 4
Вот Это Да! Каковы были шансы? Не выходите на улицу во время грозы. queso 12 лет назад 1
хм, хотя я должен сыграть в лотерею: -7 (+1 кстати) Tobias Kienzler 12 лет назад 0
11
Michael Trausch

Это действительно зависит от того, что вы получаете!

Существует произвольное количество методов для определения того, похож ли пароль на другой. Скажем, например, что вы используете карточку пароля и что кто-то другой имеет такую ​​же (или просто знает, какая у вас). Если они скомпрометируют один из ваших паролей и увидят, что это просто строка с парольной картой, они, вероятно, догадаются (возможно, даже правильно), что все ваши пароли получены из этой карты аналогичным образом.

Но для большинства вещей это действительно не проблема вообще. Если ваш пароль в службе A отличается от пароля в службе B только одним символом, и обе службы безопасны (например, хранят соленые хеши для вашего пароля вместо прямого хеш-кода или самого открытого текста), то это «вычислительно невозможно» чтобы определить, похожи ли пароли, не говоря уже о том, насколько они похожи.

Короткий ответ таков: если ваши пароли следуют какой-либо схеме, то да, вполне вероятно, что компрометация одного пароля приведет к компрометации других. Однако это не означает, что это будет возможно сделать. До тех пор, как вы:

  1. Никогда не используйте один и тот же пароль для более чем одного сервиса,
  2. Введите какой-нибудь случайный (хотя бы немного) элемент в генерацию ваших паролей, и
  3. Никогда не передавайте и не сохраняйте ваши пароли в открытом виде

Вы должны быть в порядке. И не забывайте всегда иметь разные пароли для разных сервисов - просто не используйте один и тот же пароль для всех и даже не используйте один и тот же пароль дважды. Важно защититься от глупых компаний, которые отказываются следовать передовым методам, когда дело доходит до хранения пользовательских данных, таких как пароли.

7
yogsototh

Мой короткий ответ - ДА . Например: strongpassword + game.com взломан,

Если я нападающий, мне очень легко понять шаблон, который вы использовали, и попробовать его на других сайтах. Например, сильный пароль + paypal.com

Argh! ....

Чтобы исправить это, я лично использую:

hash ( strongpassword+game.com ) hash ( strongpassword+paypal.com )

Используя математические свойства хэша (я использую sha1), зная первый пароль, трудно найти пароль и второй пароль.

Если вы хотите больше подробностей, я сделал запись в блоге о безопасности пароля, которая точно отвечает на ваш вопрос:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Я также сделал несколько инструментов, чтобы упростить управление всеми моими паролями, потому что вам необходимо поменять взломанный пароль, запомнить максимальную длину пароля и т. Д.

SHA-1 больше не считается математически безопасным. Hello71 12 лет назад 1
@ Hello71 у тебя есть источник для этого? Мне было бы интересно узнать больше. nhinkle 12 лет назад 4
http://tinsology.net/2010/12/is-sha1-still-viable/ по общему признанию ограниченный случай, но возможность поиска первых 6 символов пространства ключей, которые быстро на арендованных ресурсах, означает, что кто-то с ботнетами и радужными таблицами может по-видимому, сделать намного больше. Как правило, при прочих равных условиях лучше всего использовать хеш / шифрование, которые расходуют больше всего циклов ЦП. :) Stephanie 12 лет назад 0
4
dhasenan

Это зависит от того, что вы беспокоитесь. При широкомасштабной автоматической атаке с использованием учетных данных с одного сайта на другом, злоумышленник в первую очередь выберет самую легкую часть - люди, использующие точно такой же пароль. Как только это будет исчерпано, и если атака все еще остается незамеченной, злоумышленник будет искать то, что он считает общими шаблонами - вероятно, что-то вроде базового пароля + сайт.

Умный злоумышленник, который уверен, что ее первоначальная атака (та, которая получила ваши пароли) осталась незамеченной, должна выполнить эту обработку перед использованием паролей, которые она добыла. В этом случае любая предсказуемая модификация опасна, в зависимости от того, насколько она очевидна для атакующего.

Если ваш пароль, скажем, префикс плюс случайный элемент, и злоумышленник подозревает это, а злоумышленник хэш-пароль вашего пароля на другом сайте, они могут получить ваш другой пароль немного раньше.

Вы можете создавать свои пароли, хешируя что-то предсказуемое, но если эта практика становится вообще распространенной или вы получаете личное внимание от вашего злоумышленника, это не спасет вас. В некотором смысле надежность пароля - это вопрос популярности арбитража.

TL; Dr не делать ничего детерминированного.

Похожие вопросы