Nếu một trong các mật khẩu của tôi bị xâm phạm thì các mật khẩu khác của tôi có bị xâm nhập không?

Mục lục:

Nếu một trong các mật khẩu của tôi bị xâm phạm thì các mật khẩu khác của tôi có bị xâm nhập không?
Nếu một trong các mật khẩu của tôi bị xâm phạm thì các mật khẩu khác của tôi có bị xâm nhập không?

Video: Nếu một trong các mật khẩu của tôi bị xâm phạm thì các mật khẩu khác của tôi có bị xâm nhập không?

Video: Nếu một trong các mật khẩu của tôi bị xâm phạm thì các mật khẩu khác của tôi có bị xâm nhập không?
Video: Trang web học từ vựng tiếng anh siêu đỉnh | biquyetdodaihoc #shorts - YouTube 2024, Tháng tư
Anonim

Phiên Hỏi & Đáp hôm nay đến với chúng tôi theo lịch sự của SuperUser - một phân khu của Stack Exchange, một nhóm các trang web Hỏi & Đáp dành cho cộng đồng.

Câu hỏi

Người đọc siêu người dùng Michael McGowan tò mò về tầm ảnh hưởng của việc vi phạm mật khẩu đến mức nào; anh ấy viết:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

trên trang A và

mySecure12#PasswordB

trên trang web B (cảm thấy tự do để sử dụng một định nghĩa khác nhau của "tương tự" nếu nó có ý nghĩa).

Giả sử sau đó mật khẩu cho trang web A bằng cách nào đó bị xâm phạm … có thể là một nhân viên độc hại của trang web A hoặc một lỗ hổng bảo mật. Điều này có nghĩa là mật khẩu của trang web B cũng đã bị xâm phạm một cách hiệu quả hay không có sự tương tự về mật khẩu trong ngữ cảnh này? Liệu nó có tạo nên sự khác biệt nào cho dù sự thỏa hiệp trên trang web A có phải là một đoạn văn bản bị rò rỉ hay phiên bản băm không?

Michael có nên lo lắng nếu tình huống giả định của anh ta đi qua?

Câu trả lời

Những người đóng góp của SuperUser đã giúp giải quyết vấn đề cho Michael. Người đóng góp superuser Queso viết:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Một người đóng góp Superuser khác, Michael Trausch, giải thích cách thức trong hầu hết các tình huống, tình huống giả thuyết không phải là nguyên nhân gây lo ngại nhiều:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Nếu bạn lo ngại rằng danh sách mật khẩu hiện tại của bạn không đa dạng và ngẫu nhiên, chúng tôi khuyên bạn nên xem hướng dẫn bảo mật mật khẩu toàn diện của chúng tôi: Cách khôi phục sau khi mật khẩu email của bạn bị xâm nhập. Bằng cách làm lại danh sách mật khẩu của bạn như thể mẹ của tất cả các mật khẩu, mật khẩu email của bạn, đã bị xâm nhập, thật dễ dàng để nhanh chóng đưa danh mục mật khẩu của bạn lên đến tốc độ.

Có cái gì để thêm vào lời giải thích? Âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange có hiểu biết công nghệ khác? Xem toàn bộ chuỗi thảo luận tại đây.

Đề xuất:

Làm thế nào để làm cho dấu hoa thị mật khẩu hiển thị trong cửa sổ đầu cuối trong Linux

Làm thế nào để làm cho dấu hoa thị mật khẩu hiển thị trong cửa sổ đầu cuối trong Linux

Khi bạn chạy lệnh bằng sudo trong Linux, Terminal sẽ nhắc bạn nhập mật khẩu của bạn mà không có phản hồi trực quan khi bạn nhập. Chúng tôi sẽ hiển thị một tinh chỉnh nhanh sẽ hiển thị dấu hoa thị (*) khi bạn nhập mật khẩu của mình vào Thiết bị đầu cuối.

Giờ đây tính năng Tự động điền mật khẩu là một phần của iOS 12, Không có lý do gì để không sử dụng Trình quản lý mật khẩu

Giờ đây tính năng Tự động điền mật khẩu là một phần của iOS 12, Không có lý do gì để không sử dụng Trình quản lý mật khẩu

Lý do lớn nhất để sử dụng trình quản lý mật khẩu là bảo mật. Nhiều người sử dụng lại cùng một số mật khẩu trên web vì chúng dễ nhớ - nhưng đây cũng là cách tồi tệ nhất để xử lý bảo mật tài khoản. Điều gì xảy ra nếu ai đó phát hiện ra ngay cả một trong những mật khẩu "được sử dụng nhiều nhất" của bạn? Có bao nhiêu tài khoản sẽ bị xâm nhập?

Giám đốc điều hành của Apple Tim Cook gọi Microsoft Surface là một sản phẩm bị xâm phạm, gây nhầm lẫn '!

Giám đốc điều hành của Apple Tim Cook gọi Microsoft Surface là một sản phẩm bị xâm phạm, gây nhầm lẫn '!

Giám đốc điều hành của Apple Tim Cook gần đây đã tạo ra một sự rung động bằng cách đặt tên cho tab Surface mới của Microsoft như là một sản phẩm 'bị xâm phạm, gây nhầm lẫn'

Vấn đề bảo mật của Windows 10: Bạn có thực sự bị xâm phạm, bị lộ không?

Vấn đề bảo mật của Windows 10: Bạn có thực sự bị xâm phạm, bị lộ không?

Bài đăng xem xét vấn đề bảo mật với Windows 10 và diễn giải chúng theo chính sách bảo mật mới của Microsoft. Một số người nói rằng bạn cho đi nhiều sự riêng tư. Có thật không?

Đánh giá của HitmanPro.Alert: Công cụ phát hiện xâm nhập và trình duyệt xâm nhập của Ransomware miễn phí

Đánh giá của HitmanPro.Alert: Công cụ phát hiện xâm nhập và trình duyệt xâm nhập của Ransomware miễn phí

Đọc Đánh giá HitmanPro.Alert. Nó là một Ransomware miễn phí Bảo vệ & Trình duyệt Công cụ phát hiện xâm nhập. Cung cấp bảo vệ chống lại phần mềm mã hóa của CryptoLocker.