Nếu một trong những mật khẩu của tôi bị thỏa hiệp thì mật khẩu khác của tôi có bị thỏa hiệp không?
Nếu một trong những mật khẩu của bạn bị xâm phạm, điều đó có tự động có nghĩa là các mật khẩu khác của bạn cũng bị xâm phạm không? Mặc dù có khá nhiều biến số khi chơi, câu hỏi là một cái nhìn thú vị về điều gì làm cho mật khẩu dễ bị tổn thương và bạn có thể làm gì để bảo vệ chính mình.
Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web hỏi đáp trong cộng đồng.
Câu hỏi
Độc giả của SuperUser Michael McGowan rất tò mò về mức độ ảnh hưởng của một lần vi phạm mật khẩu; anh ấy viết:
Giả sử người dùng sử dụng mật khẩu an toàn tại trang A và mật khẩu bảo mật khác nhưng tương tự tại trang B. Có thể giống như
mySecure12 # Mật khẩu
trên trang A vàmySecure12 # Mật khẩu
trên trang web B (vui lòng sử dụng một định nghĩa khác về sự tương tự của Google nếu nó có ý nghĩa).Giả sử sau đó mật khẩu cho trang A bị xâm phạm bằng cách nào đó có thể là một nhân viên độc hại của trang A hoặc rò rỉ bảo mật. Điều này có nghĩa là mật khẩu của trang B cũng đã bị xâm phạm một cách hiệu quả, hoặc không có thứ nào giống như mật khẩu của mật khẩu giống nhau trong bối cảnh này? Liệu có bất kỳ sự khác biệt nào cho dù sự thỏa hiệp trên trang A là một rò rỉ văn bản đơn giản hay một phiên bản băm?
Michael có nên lo lắng nếu tình huống giả định của anh ấy đến?
Câu trả lời
Những người đóng góp cho SuperUser đã giúp làm sáng tỏ vấn đề cho Michael. Người đóng góp siêu người dùng Queso viết:
Để trả lời phần cuối cùng trước: Có, nó sẽ tạo ra sự khác biệt nếu dữ liệu được tiết lộ là Cleartext so với băm. Trong một hàm băm, nếu bạn thay đổi một ký tự đơn, toàn bộ hàm băm hoàn toàn khác nhau. Cách duy nhất kẻ tấn công biết mật khẩu là vũ phu băm (không phải là không thể, đặc biệt là nếu băm không được đánh dấu. Xem bảng cầu vồng).
Theo như câu hỏi tương tự, nó sẽ phụ thuộc vào những gì kẻ tấn công biết về bạn. Nếu tôi nhận được mật khẩu của bạn trên trang A và nếu tôi biết bạn sử dụng một số mẫu nhất định để tạo tên người dùng hoặc như vậy, tôi có thể thử các quy ước tương tự trên mật khẩu trên các trang web bạn sử dụng.
Ngoài ra, trong các mật khẩu bạn cung cấp ở trên, nếu tôi là kẻ tấn công nhìn thấy một mẫu rõ ràng mà tôi có thể sử dụng để tách một phần mật khẩu dành riêng cho trang web khỏi phần mật khẩu chung, tôi chắc chắn sẽ biến phần đó của tấn công mật khẩu tùy chỉnh với bạn.
Ví dụ: giả sử bạn có mật khẩu siêu an toàn như 58htg% HF! C. Để sử dụng mật khẩu này trên các trang web khác nhau, bạn hãy thêm một mục cụ thể cho trang web vào đầu để bạn có mật khẩu như: facebook58htg% HF! C, giếngfargo58htg% HF! C hoặc gmail58htg% HF! C, bạn có thể đặt cược nếu tôi hack facebook của bạn và nhận facebook58htg% HF! c Tôi sẽ thấy mô hình đó và sử dụng nó trên các trang web khác tôi thấy rằng bạn có thể sử dụng.
Tất cả đều đi xuống các mẫu. Kẻ tấn công sẽ thấy một mẫu trong phần dành riêng cho trang web và phần chung của mật khẩu của bạn?
Một người đóng góp Superuser khác, Michael Trausch, giải thích làm thế nào trong hầu hết các tình huống, tình huống giả định không gây ra nhiều lo ngại:
Để trả lời phần cuối cùng trước: Có, nó sẽ tạo ra sự khác biệt nếu dữ liệu được tiết lộ là Cleartext so với băm. Trong một hàm băm, nếu bạn thay đổi một ký tự đơn, toàn bộ hàm băm hoàn toàn khác nhau. Cách duy nhất kẻ tấn công biết mật khẩu là vũ phu băm (không phải là không thể, đặc biệt là nếu băm không được đánh dấu. Xem bảng cầu vồng).
Theo như câu hỏi tương tự, nó sẽ phụ thuộc vào những gì kẻ tấn công biết về bạn. Nếu tôi nhận được mật khẩu của bạn trên trang A và nếu tôi biết bạn sử dụng một số mẫu nhất định để tạo tên người dùng hoặc như vậy, tôi có thể thử các quy ước tương tự trên mật khẩu trên các trang web bạn sử dụng.
Ngoài ra, trong các mật khẩu bạn cung cấp ở trên, nếu tôi là kẻ tấn công nhìn thấy một mẫu rõ ràng mà tôi có thể sử dụng để tách một phần mật khẩu dành riêng cho trang web khỏi phần mật khẩu chung, tôi chắc chắn sẽ biến phần đó của tấn công mật khẩu tùy chỉnh với bạn.
Ví dụ: giả sử bạn có mật khẩu siêu an toàn như 58htg% HF! C. Để sử dụng mật khẩu này trên các trang web khác nhau, bạn hãy thêm một mục cụ thể cho trang web vào đầu để bạn có mật khẩu như: facebook58htg% HF! C, giếngfargo58htg% HF! C hoặc gmail58htg% HF! C, bạn có thể đặt cược nếu tôi hack facebook của bạn và nhận facebook58htg% HF! c Tôi sẽ thấy mô hình đó và sử dụng nó trên các trang web khác tôi thấy rằng bạn có thể sử dụng.
Tất cả đều đi xuống các mẫu. Kẻ tấn công sẽ thấy một mẫu trong phần dành riêng cho trang web và phần chung của mật khẩu của bạn?
Nếu bạn lo ngại rằng danh sách mật khẩu hiện tại của bạn không đủ đa dạng và ngẫu nhiên, chúng tôi khuyên bạn nên kiểm tra hướng dẫn bảo mật mật khẩu toàn diện của chúng tôi: Cách khôi phục sau khi mật khẩu email của bạn bị xâm phạm. Bằng cách làm lại danh sách mật khẩu của bạn như thể mẹ của tất cả mật khẩu, mật khẩu email của bạn đã bị xâm phạm, thật dễ dàng để nhanh chóng đưa danh mục mật khẩu của bạn lên tốc độ.
Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.