Als een van mijn wachtwoorden wordt aangetast, raken ook mijn andere wachtwoorden in gevaar?
Als een van uw wachtwoorden is aangetast, betekent dat dan automatisch dat uw andere wachtwoorden ook worden aangetast? Hoewel er nogal wat variabelen in het spel zijn, is de vraag een interessante blik op wat een wachtwoord kwetsbaar maakt en wat u kunt doen om uzelf te beschermen.
De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-drive groep van Q & A-websites.
De vraag
SuperUser-lezer Michael McGowan is benieuwd hoe ver de impact van een enkele inbreuk op het wachtwoord is; hij schrijft:
Stel dat een gebruiker een veilig wachtwoord gebruikt op site A en een ander maar vergelijkbaar beveiligd wachtwoord op site B. Misschien iets als
mySecure12 # PasswordA
op site A enmySecure12 # WACHTWOORD
op site B (voel je vrij om een andere definitie van "gelijkenis" te gebruiken als dit zinvol is).Stel dat het wachtwoord voor site A op de een of andere manier is aangetast ... misschien een kwaadwillende medewerker van site A of een beveiligingslek. Betekent dit dat het wachtwoord van site B ook daadwerkelijk is gecompromitteerd of bestaat er in dit verband niet zoiets als 'wachtwoordovereenkomst'? Maakt het enig verschil of het compromis op site A een lek in de vorm van een platte tekst of een hash-versie was?
Moet Michael zich zorgen maken als zijn hypothetische situatie voorbij komt?
Het antwoord
Bijdragen van SuperUser hielpen het probleem voor Michael op te lossen. Superuser-bijdrager Queso schrijft:
Om eerst het laatste deel te beantwoorden: Ja, het zou een verschil maken als de gegevens die werden onthuld cleartext versus hashed waren. In een hash, als je een enkel teken verandert, is de hele hash compleet anders. De enige manier waarop een aanvaller het wachtwoord kent is om de hash brute kracht te geven (niet onmogelijk, vooral als de hash ongezouten is, zie rainbow-tabellen).
Wat betreft de gelijkenis vraag, het zou afhangen van wat de aanvaller van je weet. Als ik uw wachtwoord ontvang op site A en als ik weet dat u bepaalde patronen gebruikt voor het maken van gebruikersnamen of dergelijke, kan ik diezelfde conventies proberen over wachtwoorden op sites die u gebruikt.
Als alternatief, in de wachtwoorden die u hierboven geeft, als ik als aanvaller een voor de hand liggend patroon zie dat ik kan gebruiken om een site-specifiek gedeelte van het wachtwoord van het generieke wachtwoordgedeelte te scheiden, zal ik zeker dat deel van een aangepaste wachtwoordaanval op maat maken aan u.
Stel dat u bijvoorbeeld een superveilig wachtwoord heeft zoals 58htg% HF! C. Om dit wachtwoord op verschillende sites te gebruiken, voeg je een site-specifiek item toe aan het begin, zodat je wachtwoorden hebt zoals: facebook58htg% HF! C, wellsfargo58htg% HF! C, of gmail58htg% HF! C, je kunt erop wedden als ik hack je facebook en ontvang facebook58htg% HF! c Ik ga dat patroon bekijken en gebruiken op andere sites die ik vind dat je mag gebruiken.
Het komt allemaal neer op patronen. Krijgt de aanvaller een patroon in het site-specifieke gedeelte en het algemene gedeelte van uw wachtwoord?
Een andere Superuser-bijdrager, Michael Trausch, legt uit hoe in de meeste situaties de hypothetische situatie niet veel reden tot zorg is:
Om eerst het laatste deel te beantwoorden: Ja, het zou een verschil maken als de gegevens die werden onthuld cleartext versus hashed waren. In een hash, als je een enkel teken verandert, is de hele hash compleet anders. De enige manier waarop een aanvaller het wachtwoord kent is om de hash brute kracht te geven (niet onmogelijk, vooral als de hash ongezouten is, zie rainbow-tabellen).
Wat betreft de gelijkenis vraag, het zou afhangen van wat de aanvaller van je weet. Als ik uw wachtwoord ontvang op site A en als ik weet dat u bepaalde patronen gebruikt voor het maken van gebruikersnamen of dergelijke, kan ik diezelfde conventies proberen over wachtwoorden op sites die u gebruikt.
Als alternatief, in de wachtwoorden die u hierboven geeft, als ik als aanvaller een voor de hand liggend patroon zie dat ik kan gebruiken om een site-specifiek gedeelte van het wachtwoord van het generieke wachtwoordgedeelte te scheiden, zal ik zeker dat deel van een aangepaste wachtwoordaanval op maat maken aan u.
Stel dat u bijvoorbeeld een superveilig wachtwoord heeft zoals 58htg% HF! C. Om dit wachtwoord op verschillende sites te gebruiken, voeg je een site-specifiek item toe aan het begin, zodat je wachtwoorden hebt zoals: facebook58htg% HF! C, wellsfargo58htg% HF! C, of gmail58htg% HF! C, je kunt erop wedden als ik hack je facebook en ontvang facebook58htg% HF! c Ik ga dat patroon bekijken en gebruiken op andere sites die ik vind dat je mag gebruiken.
Het komt allemaal neer op patronen. Krijgt de aanvaller een patroon in het site-specifieke gedeelte en het algemene gedeelte van uw wachtwoord?
Als je je zorgen maakt dat je huidige wachtwoordlijst niet divers en willekeurig genoeg is, raden we je ten zeerste aan om onze uitgebreide handleiding voor wachtwoordbeveiliging te raadplegen: Hoe te herstellen nadat je e-mailwachtwoord is mislukt. Door uw wachtwoordlijsten te herwerken alsof de moeder van alle wachtwoorden, uw e-mailwachtwoord, is aangetast, kunt u uw wachtwoordportfolio snel op snelheid brengen.
Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.