Eğer bir şifre tehlikede ise, “benzer” bir şifre de tehlikede mi?


37

Bir kullanıcının A sitesinde güvenli bir parola ve B sitesinde farklı ancak benzer bir güvenli parola kullandığını varsayalım. Belki de mySecure12#PasswordAA ve mySecure12#PasswordBB sitelerinde olduğu gibi bir şeyler (mantıklı olması durumunda farklı bir "benzerlik" tanımı kullanmaktan çekinmeyin).

Diyelim ki A sitesi için parola bir şekilde tehlikeye atıldı ... belki de A sitesi için kötü niyetli bir çalışan veya bir güvenlik sızıntısı var. Bu, site B'nin şifresinin de etkin bir şekilde tehlikeye atıldığı veya bu bağlamda "şifre benzerliği" diye bir şey olmadığı anlamına mı geliyor? A sitesindeki uzlaşmanın bir düz metin sızıntısı mı yoksa karma bir sürüm mü olduğu fark eder mi?

Yanıtlar:


38

İlk önce son kısmı cevaplamak için: Evet, açıklanan verinin metne göre netleştirilmesi neticesinde bir fark yaratır. Bir karmada, tek bir karakteri değiştirirseniz, tüm karma tamamen farklıdır. Bir saldırganın parolayı bilmesinin tek yolu hash'a zorlamaktır (özellikle hash tuzsuzsa imkansız değildir. Gökkuşağı tablolarına bakınız ).

Benzerlik sorusuna gelince, saldırganın senin hakkında ne bildiğine bağlı. Parolanızı A sitesine girersem ve kullanıcı adlarını oluşturmak için belirli kalıpları kullandığımı biliyorsanız, aynı kuralları kullandığınız sitelerdeki şifrelerde deneyebilirim.

Alternatif olarak, yukarıda verdiğiniz şifrelerde, eğer bir saldırgan olarak şifrenin siteye özgü bir bölümünü genel şifre bölümünden ayırmak için kullanabileceğim açık bir düzen görürsem, kesinlikle özel bir şifre saldırısının bu bölümünü özel olarak yapacağım. sana.

Örnek olarak,% 58 HG! C gibi süper güvenli bir şifreniz olduğunu söyleyin. Bu şifreyi farklı sitelerde kullanmak için, siteye özgü bir öğe eklersiniz, böylece aşağıdaki gibi şifreleriniz olur: facebook58htg% HF! C, wellsfargo58htg% HF! C veya gmail58htg% HF! C, facebook'unuzu hackleyin ve facebook alın58htg% HF! c Bu deseni göreceğim ve kullanabileceğinizi diğer sitelerde kullanacağım.

Her şey kalıplara düşüyor. Saldırgan, siteye özgü kısımda ve şifrenizin genel kısmında bir kalıp görecek mi?


4
az önce her 58htg%HF!c
yerdeki

1
Vaov! Şanslar neydi? Şimşekli fırtınalarda bir süre dışarı çıkma.
queso

hm, gerçi piyango oynamalıyım: -7 (+1 btw)
Tobias Kienzler

11

Bu gerçekten ne elde ettiğine bağlı!

Bir parolanın diğerine benzer olup olmadığını belirlemek için isteğe bağlı sayıda yöntem vardır. Örneğin, bir şifre kartı kullandığınızı ve bir şekilde bir başkasının aynı birine sahip olduğunu (veya sadece hangisinin olduğunu biliyoruz) diyelim . Eğer şifrelerinizden birini tehlikeye atıyorlarsa ve şifre kartının sadece bir satır aşağı olduğunu görebiliyorlarsa, şifrelerinizin hepsinin benzer bir şekilde bu karttan türemiş olduğunu tahmin etmeleri muhtemeldir.

Ancak, çoğu şey için bu gerçekten bir sorun değil. A servisindeki şifreniz, B servisindeki şifrenizden sadece tek bir karakterden farklıysa ve her iki servis de güvenli ise (örneğin, düz karma veya düz metin yerine şifreniz için tuzlu karmaları saklayın), o zaman "hesaplama açısından olanaksız" olur. Parolaların benzer olup olmadığını belirlemek için, ne kadar benzer olduklarını bir düşünün.

Kısa bir cevap şudur: Eğer şifreleriniz herhangi bir kalıbı takip ederse, evet, bir şifrenin uzlaşmasının başkalarının uzlaşmasına yol açması muhtemeldir. Ancak, bunun mümkün olduğu anlamına gelmez. Senin kadar uzun:

  1. Aynı şifreyi asla birden fazla servis için kullanmayın,
  2. Parolalarınızı oluşturmaya rasgele (sadece biraz da olsa) bir öğe ekleyin ve
  3. Şifrelerinizi asla cleartext olarak iletmeyin veya kaydetmeyin

İyi olmalısın. Ve her zaman farklı servisler için farklı şifrelere sahip olduğunuzu unutmayın; her şey için aynı şifreyi kullanmayın ve aynı şifreyi iki kez bile kullanmayın. Parola gibi kullanıcı verilerinin depolanması söz konusu olduğunda en iyi uygulamaları takip etmeyi reddeden aptal şirketlere karşı korunmak önemlidir.


7

Kısa cevabım EVET . Örneğin: strongpassword + game.com

Eğer bir saldırgan olursam, kullandığınız kalıbı anlamak ve diğer web sitelerinde denemek benim için gerçekten kolay. Örneğin strongpassword + paypal.com

Ahh! ....

Bunu düzeltmek için şahsen kullanıyorum:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Karma ile ilgili matematiksel özellikleri kullanarak (sha1 kullanıyorum), ilk parolayı bilmek, güçlü parolayı ve ikinci parolayı bulmak zordur.

Daha fazla ayrıntı dolaşırsanız, sorunuza tam olarak cevap veren şifre güvenliği hakkında bir blog girişi yaptım:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Ayrıca, tüm şifremi yönetmeyi kolaylaştırmak için bazı araçlar yaptım;


1
SHA-1 artık matematiksel olarak güvenli kabul edilmemektedir.
Merhaba71,

4
@ Hello71 bunun için bir kaynağınız var mı? Daha fazlasını okumak için merak ediyorum.
nhinkle

tinsology.net/2010/12/is-sha1-still-viable , sınırlı bir vaka olduğunu, ancak kiralanan kaynaklar üzerinde hızlı bir şekilde anahtar alanın ilk 6 karakterini araştırabilmek, botnetleri ve gökkuşağı masaları olan birinin daha fazlasını yapabileceği anlamına gelir. . Genel bir kural olarak, diğer her şey eşit olmakla birlikte, karma / şifreleme ne olursa olsun en fazla CPU döngüsünü kaba kuvvetle harcar. :)
Stephanie

4

Bu, neye endişe duyduğunuza bağlıdır. Diğerlerinde bir sitenin kimlik bilgilerini kullanan geniş ölçekli, otomatik saldırı için, saldırgan ilk önce en kolay bölümün peşinden gider - insanlar tam olarak aynı şifreyi kullanır. Bu tükendikten sonra, saldırı hala fark edilmezse, saldırgan ortak kalıp olduğunu düşündüğü şeyi arayacaktır - muhtemelen temel şifre + site gibi bir şey.

Orijinal saldırısının (şifrelerinizi alan kişinin) fark edilmediğinden emin olan akıllı bir saldırgan, mayınlı olduğu şifreleri kullanmadan önce bu işlemi yapar. Bu durumda, saldırganın ne kadar açık olduğuna göre tahmin edilebilir herhangi bir değişiklik tehlikelidir.

Şifreniz, örneğin bir önek artı rastgele bir öğe ise ve saldırgan bundan şüpheleniyorsa ve saldırgan başka bir sitede şifrenizin şifresine sahipse, diğer şifrenizi biraz daha erken alabilirler.

Parolalarınızı tahmin edilebilir bir şeye sahip olarak oluşturabilirsiniz, ancak bu uygulama genel olarak yaygınlaşırsa veya saldırganınızdan kişisel ilgi görüyorsanız, bu sizi kurtarmaz. Bazı açılardan, şifre gücü, popülerlik hakemliği meselesidir.

tl; dr deterministik bir şey yapmaz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.