La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte di community drive.
La domanda
Il lettore SuperUser Michael McGowan è curioso di sapere quanto sia lontano l'impatto di una singola violazione della password; lui scrive:
Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like
mySecure12#PasswordA
sul sito A e
mySecure12#PasswordB
sul sito B (sentiti libero di usare una definizione diversa di "somiglianza" se ha senso).
Supponiamo quindi che la password per il sito A sia in qualche modo compromessa … forse un dipendente malintenzionato del sito A o una perdita di sicurezza. Ciò significa che anche la password del sito B è stata effettivamente compromessa, o non esiste una "somiglianza password" in questo contesto? Fa alcuna differenza se il compromesso sul sito A era una perdita di testo normale o una versione hash?
Michael dovrebbe preoccuparsi se la sua situazione ipotetica si verificherà?
La risposta
I contributori di SuperUser hanno aiutato a chiarire il problema per Michael. Il collaboratore di Superuser Queso scrive:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Un altro collaboratore di Superuser, Michael Trausch, spiega come nella maggior parte delle situazioni la situazione ipotetica non sia motivo di preoccupazione:
To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).
As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.
Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.
As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.
It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?
Se sei preoccupato che l'attuale elenco delle password non sia vario e abbastanza casuale, ti consigliamo vivamente di consultare la nostra guida completa sulla sicurezza delle password: Come recuperare dopo che la tua password email è stata compromessa. Rielaborando gli elenchi di password come se la madre di tutte le password, la tua password di posta elettronica, è stata compromessa, è facile portare rapidamente il tuo portafoglio di password alla velocità.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.
