หากรหัสผ่านถูกบุกรุกรหัสผ่าน“ คล้ายกัน” จะถูกบุกรุกด้วยหรือไม่


37

สมมติว่าผู้ใช้ใช้รหัสผ่านที่ปลอดภัยที่ไซต์ A และรหัสผ่านที่ปลอดภัย แต่คล้ายกันที่ไซต์ B อาจเป็นสิ่งที่คล้ายmySecure12#PasswordAกับไซต์ A และmySecure12#PasswordBไซต์ B (โปรดใช้คำจำกัดความที่แตกต่างกันของ "ความคล้ายคลึงกัน" หากเหมาะสม)

สมมติว่ารหัสผ่านสำหรับไซต์ A ถูกบุกรุก ... อาจเป็นพนักงานที่เป็นอันตรายของไซต์ A หรือมีการรั่วไหลของความปลอดภัย นี่หมายความว่ารหัสผ่านของไซต์ B นั้นถูกบุกรุกอย่างมีประสิทธิภาพเช่นกันหรือไม่มี "ความคล้ายคลึงกันของรหัสผ่าน" ในบริบทนี้หรือไม่ มันสร้างความแตกต่างไม่ว่าการประนีประนอมในไซต์ A นั้นเป็นข้อความธรรมดารั่วไหลหรือเป็นเวอร์ชั่นที่แฮช

คำตอบ:


38

หากต้องการตอบส่วนสุดท้ายก่อน: ใช่มันจะสร้างความแตกต่างหากข้อมูลที่เปิดเผยนั้นเป็นข้อความที่ชัดเจนและถูกแฮช ในแฮชหากคุณเปลี่ยนอักขระเดียวแฮชทั้งหมดจะแตกต่างกันอย่างสิ้นเชิง วิธีเดียวที่ผู้โจมตีจะรู้รหัสผ่านคือการบังคับใช้การแฮช (ไม่เป็นไปไม่ได้โดยเฉพาะอย่างยิ่งหากการแฮชไม่ได้จืดชืดดูตารางรุ้ง )

เท่าที่คำถามความคล้ายคลึงกันมันจะขึ้นอยู่กับสิ่งที่ผู้โจมตีรู้เกี่ยวกับคุณ หากฉันได้รับรหัสผ่านของคุณที่ไซต์ A และถ้าฉันรู้ว่าคุณใช้รูปแบบบางอย่างสำหรับการสร้างชื่อผู้ใช้หรือเช่นนั้นฉันอาจลองใช้วิธีการเดียวกันกับรหัสผ่านในเว็บไซต์ที่คุณใช้

อีกวิธีหนึ่งในรหัสผ่านที่คุณให้ไว้ข้างต้นถ้าฉันเป็นผู้โจมตีเห็นรูปแบบที่ชัดเจนที่ฉันสามารถใช้เพื่อแยกส่วนของรหัสผ่านเฉพาะไซต์ออกจากส่วนรหัสผ่านทั่วไปฉันจะทำให้การโจมตีด้วยรหัสผ่านแบบกำหนดเองนั้นเหมาะ ถึงคุณ.

ตัวอย่างเช่นสมมติว่าคุณมีรหัสผ่านที่ปลอดภัยเป็นพิเศษเช่น 58htg% HF! c ในการใช้รหัสผ่านนี้ในเว็บไซต์ต่าง ๆ คุณเพิ่มรายการเฉพาะไซต์ไว้ที่จุดเริ่มต้นเพื่อให้คุณมีรหัสผ่านเช่น: facebook58htg% HF! c, wellsfargo58htg% HF! c หรือ gmail58htg% HF! c คุณสามารถเดิมพันได้หากฉัน แฮ็ค Facebook ของคุณและรับ facebook58htg% HF! c ฉันจะเห็นรูปแบบนั้นและใช้บนเว็บไซต์อื่นที่ฉันพบว่าคุณอาจใช้

ทุกอย่างลงมาเพื่อรูปแบบ ผู้โจมตีจะเห็นรูปแบบในส่วนเฉพาะไซต์และส่วนทั่วไปของรหัสผ่านของคุณหรือไม่


4
คุณเพิ่งแสดงรหัสผ่านเริ่มต้นของฉันทุกที่ที่58htg%HF!cไร้ประโยชน์ขอบคุณมาก
โทเบียส Kienzler

1
ว้าว! อัตราต่อรองคืออะไร? อย่าออกไปข้างนอกในพายุฝนฟ้าคะนอง
queso

หืมฉันควรเล่นลอตเตอรีแม้ว่า: -7 (+1 btw)
Tobias Kienzler

11

มันขึ้นอยู่กับสิ่งที่คุณได้รับ!

มีจำนวนวิธีการโดยพลการสำหรับการพิจารณาว่ารหัสผ่านจะคล้ายกับวิธีอื่น สมมติว่าคุณใช้บัตรรหัสผ่านและมีคนอื่นที่มีบัตรเดียวกัน (หรือเพียงแค่รู้ว่าคุณมีใคร) หากพวกเขาประนีประนอมหนึ่งในรหัสผ่านของคุณและสามารถเห็นว่ามันเป็นเพียงบัตรแถวหนึ่งลงไปพวกเขาอาจเดาได้ (อาจถูกต้อง) ว่ารหัสผ่านของคุณมาจากการ์ดใบนั้นในลักษณะเดียวกัน

แต่สำหรับสิ่งส่วนใหญ่สิ่งนี้ไม่เป็นปัญหาเลย หากรหัสผ่านของคุณในบริการ A แตกต่างจากรหัสผ่านของบริการ B เพียงตัวเดียวและบริการทั้งสองนั้นมีความปลอดภัย (เช่นจัดเก็บแฮชที่ใส่เกลือสำหรับรหัสผ่านของคุณแทนแฮชตรงหรือข้อความธรรมดา) เพื่อตรวจสอบว่ารหัสผ่านนั้นคล้ายคลึงกันหรือไม่

คำตอบสั้น ๆ คือ: ถ้ารหัสผ่านของคุณเป็นไปตามรูปแบบใด ๆ ใช่แล้วมีแนวโน้มว่าการประนีประนอมของรหัสผ่านหนึ่งอันจะนำไปสู่การประนีประนอมของผู้อื่น อย่างไรก็ตามนั่นไม่ได้หมายความว่าเป็นไปได้ที่จะทำเช่นนั้น ตราบใดที่คุณ:

  1. อย่าใช้รหัสผ่านเดียวกันสำหรับบริการมากกว่าหนึ่งรายการ
  2. แนะนำองค์ประกอบแบบสุ่ม (แม้ว่าจะเพียงเล็กน้อย) ในการสร้างรหัสผ่านของคุณและ
  3. อย่าส่งหรือบันทึกรหัสผ่านของคุณในข้อความธรรมดา

คุณควรจะสบายดี และอย่าลืมมีรหัสผ่านที่แตกต่างกันสำหรับบริการที่แตกต่างกัน - อย่าใช้รหัสผ่านเดียวกันทุกอย่างและอย่าใช้รหัสผ่านเดียวกันซ้ำสองครั้ง สิ่งสำคัญคือต้องป้องกัน บริษัท ที่โง่ที่ปฏิเสธที่จะปฏิบัติตามแนวปฏิบัติที่ดีที่สุดเมื่อกล่าวถึงการจัดเก็บข้อมูลผู้ใช้เช่นรหัสผ่าน


7

คำตอบสั้น ๆ ของฉันคือใช่ ตัวอย่างเช่น: strongpassword + game.com ถูกบุกรุก

หากฉันเป็นคนติดปากมันเป็นเรื่องง่ายสำหรับฉันที่จะเข้าใจรูปแบบที่คุณใช้และลองใช้กับเว็บไซต์อื่น ๆ ตัวอย่างเช่น strongpassword + paypal.com

โอ๊ะ! ....

ในการแก้ไขปัญหานี้ฉันใช้เป็นการส่วนตัว:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

การใช้คุณสมบัติทางคณิตศาสตร์เกี่ยวกับแฮช (ฉันใช้ sha1) การรู้รหัสผ่านครั้งแรกเป็นการยากที่จะค้นพบรหัสผ่านที่แข็งแกร่งและรหัสผ่านที่สอง

หากคุณต้องการรายละเอียดเพิ่มเติมฉันได้ทำบล็อกเกี่ยวกับความปลอดภัยของรหัสผ่านซึ่งตอบคำถามของคุณอย่างแน่นอน:

http://yannesposito.com/Scratch/en/blog/Password-Management/

ฉันได้สร้างเครื่องมือบางอย่างเพื่อให้ง่ายต่อการจัดการรหัสผ่านทั้งหมดของฉันเพราะคุณต้องสามารถเปลี่ยนรหัสผ่านที่ถูกบุกรุกได้โปรดจำความยาวสูงสุดของรหัสผ่าน ฯลฯ ...


1
SHA-1 ไม่ถือว่าปลอดภัยทางคณิตศาสตร์อีกต่อไป
Hello71

4
@ Hello71 คุณมีแหล่งที่มาสำหรับสิ่งนั้นหรือไม่? ฉันอยากอ่านเพิ่มเติม
nhinkle

tinsology.net/2010/12/is-sha1-still-viableยอมรับกรณีที่ จำกัด แต่ความสามารถในการค้นหาอักขระ 6 ตัวแรกของ keyspace ที่รวดเร็วในการเช่าทรัพยากรหมายความว่าคนที่มี botnets และโต๊ะรุ้งสามารถทำได้มากกว่า . ตามกฎทั่วไปสิ่งอื่น ๆ ทุกอย่างเท่าเทียมกันไม่ว่าแฮช / การเข้ารหัสใดจะทำให้รอบการทำงานของ CPU มากที่สุดเพื่อบังคับให้เดรัจฉานดีที่สุด :)
สเตฟานี

4

ขึ้นอยู่กับสิ่งที่คุณกังวล สำหรับการโจมตีโดยอัตโนมัติขนาดกว้างโดยใช้ข้อมูลรับรองจากไซต์หนึ่งบนเว็บไซต์อื่นผู้โจมตีจะดำเนินการตามส่วนที่ง่ายที่สุดก่อน - ผู้ใช้รหัสผ่านเดียวกันทุกประการ เมื่อหมดแล้วหากการโจมตียังไม่ได้สังเกตผู้โจมตีจะมองหาสิ่งที่เขาคิดว่าเป็นรูปแบบทั่วไป - อาจเป็นสิ่งที่ต้องการรหัสผ่านฐาน + เว็บไซต์

ผู้โจมตีที่ฉลาดที่แน่ใจว่าการโจมตีเริ่มต้นของเธอ (ผู้ที่ได้รับรหัสผ่านของคุณ) ไม่มีการสังเกตเห็นจะทำการประมวลผลนี้ก่อนที่จะใช้รหัสผ่านที่เธอขุด ในกรณีดังกล่าวการดัดแปลงใด ๆ ที่คาดเดาได้นั้นเป็นสิ่งที่อันตรายตามความชัดเจนของผู้โจมตี

หากรหัสผ่านของคุณคือคำนำหน้าบวกองค์ประกอบแบบสุ่มและผู้โจมตีสงสัยว่าสิ่งนี้และผู้โจมตีมีรหัสผ่านแฮชของคุณในเว็บไซต์อื่นพวกเขาสามารถได้รับรหัสผ่านอื่น ๆ ของคุณได้เร็วขึ้นเล็กน้อย

คุณสามารถสร้างรหัสผ่านของคุณโดยการคาดเดาบางสิ่งบางอย่างที่คาดเดาได้ แต่หากการปฏิบัตินี้กลายเป็นเรื่องธรรมดาหรือคุณได้รับความสนใจจากผู้โจมตีของคุณนั่นจะไม่ช่วยคุณ ในบางวิธีความแข็งแรงของรหัสผ่านเป็นเรื่องของการเก็งกำไรนิยม

tl; dr ไม่ทำอะไรกำหนดไว้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.