Se una password viene compromessa, viene compromessa anche una password "simile"?


37

Supponiamo che un utente usi una password sicura nel sito A e una password sicura diversa ma simile nel sito B. Forse qualcosa come mySecure12#PasswordAnel sito A e mySecure12#PasswordBnel sito B (sentiti libero di usare una diversa definizione di "somiglianza" se ha senso).

Supponiamo quindi che la password per il sito A sia in qualche modo compromessa ... forse un dipendente malintenzionato del sito A o una perdita di sicurezza. Ciò significa che anche la password del sito B è stata effettivamente compromessa o non esiste una "somiglianza della password" in questo contesto? Fa differenza se il compromesso sul sito A era una perdita di testo o una versione con hash?

Risposte:


38

Per rispondere prima all'ultima parte: Sì, farebbe la differenza se i dati divulgati fossero in chiaro rispetto a hash. In un hash, se cambi un singolo personaggio, l'intero hash è completamente diverso. L'unico modo in cui un utente malintenzionato può conoscere la password è forzare la forza dell'hash (non impossibile, soprattutto se l'hash non viene salato. Vedi le tabelle arcobaleno ).

Per quanto riguarda la domanda di somiglianza, dipenderà da ciò che l'attaccante sa di te. Se ricevo la tua password sul sito A e se so che usi determinati schemi per la creazione di nomi utente o simili, potrei provare le stesse convenzioni sulle password sui siti che utilizzi.

In alternativa, nelle password fornite in precedenza, se come attaccante vedo un modello ovvio che posso usare per separare una parte della password specifica del sito dalla porzione di password generica, farò sicuramente quella parte di un attacco di password personalizzato su misura a te.

Ad esempio, supponiamo di avere una password super sicura come 58htg% HF! C. Per utilizzare questa password su siti diversi, aggiungi all'inizio un elemento specifico del sito, in modo da disporre di password come: facebook58htg% HF! C, wellsfargo58htg% HF! C o gmail58htg% HF! C, puoi scommettere se I hackera il tuo facebook e ottieni facebook58htg% HF! c Ho intenzione di vedere quel modello e usarlo su altri siti che trovo che potresti usare.

Tutto si riduce a schemi. L'autore dell'attacco vedrà uno schema nella parte specifica del sito e nella parte generica della tua password?


4
hai appena reso inutile la mia password predefinita ovunque 58htg%HF!c, grazie mille
Tobias Kienzler,

1
Wow! Quali erano le probabilità? Non uscire in nessun temporale per un po '.
queso,

hm, dovrei giocare alla lotteria però: -7 (+1 btw)
Tobias Kienzler,

11

Dipende davvero da cosa stai arrivando!

Esiste un numero arbitrario di metodi per determinare se una password è simile a un'altra. Diciamo ad esempio che usi una password card e che in qualche modo qualcun altro ha la stessa (o semplicemente sa quale hai). Se compromettono una delle tue password e riescono a vedere che è solo una riga sulla scheda della password, è probabile che indovinino (forse anche correttamente) che le tue password sono tutte derivate da quella scheda in modo simile.

Ma, per la maggior parte delle cose, questo non è affatto un problema. Se la tua password sul servizio A differisce dalla password sul servizio B solo per un singolo carattere ed entrambi i servizi sono sicuri (ad esempio, memorizza gli hash salati per la tua password invece dell'hash o del semplice testo stesso), allora è "non calcolabile dal punto di vista computazionale" per determinare se le password sono simili, figuriamoci quanto sono simili.

Una risposta breve è questa: se le tue password seguono una sorta di schema, allora sì, è probabile che il compromesso di una password comporti il ​​compromesso di altre. Tuttavia, ciò non significa che sarà possibile farlo. Finchè:

  1. Non usare mai la stessa password per più di un servizio,
  2. Introduci qualche elemento casuale (anche se solo leggermente) nella generazione delle tue password, e
  3. Non trasmettere o salvare mai le password in chiaro

Dovresti essere a posto. E ricorda di avere sempre password diverse per servizi diversi: non utilizzare semplicemente la stessa password per tutto e non utilizzare nemmeno la stessa password due volte. È importante evitare aziende stupide che rifiutano di seguire le migliori pratiche in materia di archiviazione dei dati degli utenti come le password.


7

La mia breve risposta è . Ad esempio: strongpassword + game.com compromesso,

Se sono un attore, è davvero facile per me capire lo schema che hai usato e provarlo su altri siti web. Ad esempio strongpassword + paypal.com

Argh! ....

Per risolvere questo problema uso personalmente:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Usando le proprietà matematiche sull'hash (io uso sha1), conoscendo la prima password è difficile scoprire strongpassword e la seconda password.

Se vuoi ulteriori dettagli, ho pubblicato un post sul blog sulla sicurezza delle password che risponde esattamente alla tua domanda:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Ho anche creato alcuni strumenti per semplificare la gestione di tutta la mia password, perché devi essere in grado di modificare una password compromessa, ricordare la lunghezza massima di una password, ecc ...


1
SHA-1 non è più considerato matematicamente sicuro.
Hello71,

4
@ Hello71 hai una fonte per questo? Sarei curioso di leggere di più.
nhinkle

tinsology.net/2010/12/is-sha1-still-viable è certamente un caso limitato, ma essere in grado di cercare i primi 6 caratteri dello spazio chiave che rapidamente su risorse noleggiate significa che qualcuno con botnet e tavoli arcobaleno può presumibilmente fare molto di più . Come regola generale, a parità di tutte le altre cose, qualunque sia l'hash / crittografia spreca il maggior numero di cicli della CPU per la forza bruta è la cosa migliore. :)
Stephanie,

4

Questo dipende da cosa ti preoccupi. Per un attacco automatizzato su larga scala che utilizza le credenziali di un sito su altri, l'attaccante cercherà per primo la parte più semplice: le persone che usano esattamente la stessa password. Una volta che questo è stato esaurito, se l'attacco è ancora inosservato, l'attaccante cercherà quelli che pensa siano modelli comuni - probabilmente qualcosa come password di base + sito.

Un aggressore intelligente che è certo che il suo attacco originale (quello che ha ottenuto le tue password) è passato inosservato lo farebbe prima di usare le password che ha estratto. In tal caso, qualsiasi modifica prevedibile è pericolosa, a seconda di quanto sia ovvio per l'attaccante.

Se la tua password è, per esempio, un prefisso più un elemento casuale, e l'attaccante sospetta questo, e l'attaccante ha l'hash della tua password su un altro sito, possono ottenere l'altra password leggermente prima.

Puoi creare le tue password cancellando qualcosa di prevedibile, ma se questa pratica diventa del tutto comune o stai ricevendo attenzione personale dal tuo aggressore, ciò non ti salverà. In un certo senso, la sicurezza delle password è una questione di arbitraggio di popolarità.

tl; dr non fa nulla di deterministico.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.