предположим, пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. может быть, что-то вроде mySecure12#PasswordA на сайте и mySecure12#PasswordB на сайте B (не стесняйтесь использовать другое определение «сходства», если это имеет смысл).
предположим, что пароль для сайта A каким-то образом скомпрометирован. возможно, злоумышленник с сайта А или утечка информации. Означает ли это, что пароль сайта B также был скомпрометирован или нет такого вещь как «сходство паролей» в этом контексте? Имеет ли значение, был ли компромисс на сайте A утечкой обычного текста или хешированной версией?
4 ответов
чтобы ответить на последнюю часть первой: Да, было бы иметь значение, если бы раскрытые данные были открытым текстом против хэша. В хэше, если вы изменяете один символ, весь хэш полностью отличается. Единственный способ злоумышленник будет знать пароль, чтобы перебрать хэш (не невозможно, особенно если хэш несоленого. см.радужные таблицы).
Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или таких, я могу попробовать те же соглашения о паролях на сайтах, которые вы используете.
в качестве альтернативы, в паролях, которые вы даете выше, если я, как злоумышленник, вижу очевидный шаблон, который я могу использовать, чтобы отделить определенную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть пользовательской атаки пароля с учетом вас.
в качестве примера, скажем, у вас есть супер безопасный пароль, как 58htg%HF!С. Чтобы использовать этот пароль на разных сайтах, вы добавляете в начало специфичный для сайта элемент, чтобы у вас были пароли, такие как: facebook58htg%HF!c, wellsfargo58htg%HF!c, или gmail58htg%HF!c, вы можете поспорить, если я взломаю ваш facebook и получу facebook58htg%HF!c я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.
все сводится к модели. Будет ли злоумышленник видеть шаблон в части сайта и общей части твой пароль?
отвечен queso 2011-06-20 02:44:55
Это действительно зависит от того, что вы клоните!
существует произвольное количество методов для определения того, похож ли пароль на другой. Допустим, вы используете пароль карты, а то как-то кто-то один и тот же (или просто знает, какой у вас есть). Если они скомпрометируют один из ваших паролей и увидят, что это всего лишь строка в карточке пароля, они, вероятно, догадаются (возможно, даже правильно), что ваши пароли все производные от этой карты аналогичным образом.
но для большинства вещей это вообще не проблема. Если ваш пароль на сервисе a отличается от пароля на сервисе B только одним символом, и обе службы безопасны (например, хранят соленые хэши для вашего пароля вместо прямого хэша или самого открытого текста), то «вычислительно неосуществимо» определить, похожи ли Пароли, не говоря уже о том, насколько они похожи.
логины, введённые здесь, могут быть скомпрометированы
короткий ответ таков: если ваши пароли следуют какому-либо шаблону, то да, вполне вероятно, что компромисс одного пароля приведет к компромиссу других. Однако это не означает, что это будет возможно сделать. До тех пор, пока вы:
- никогда не используйте тот же пароль для нескольких служб,
- ввести какой-то случайный (хотя бы немного) элемент в генерацию ваших паролей, и
- никогда не передавать и не сохранять пароли в открытом виде
вы должны быть в порядке. И не забывайте всегда иметь разные пароли для разных сервисов-не просто использовать один и тот же пароль для всего, и даже не использовать один и тот же пароль дважды. Важно, чтобы защититься от глупых компаний, которые отказываются следовать лучшим практикам, когда дело доходит до хранения пользовательских данных, таких как пароли.
отвечен Michael Trausch 2011-06-20 03:55:27
мой ответ:да. Например: strongpassword+game.com скомпрометирован,
Если я attaquer, то действительно легко для меня понять картину вы использовали и попробовать его на других вебсайтах. Например, strongpassword+paypal.com
для того чтобы исправить это, я лично использую:
hash ( strongpassword+game.com ) hash ( strongpassword+paypal.com )
используя математические свойства о хэше (я использую sha1), зная первый пароль трудно обнаружить strongpassword и второй пароль.
Если вы палочку более подробную информацию, я сделал запись в блоге о безопасности паролей, которые отвечают именно на ваш вопрос:
Я также сделал некоторые инструменты, чтобы сделать его легче управляет всем мой пароль, потому что вы должны быть в состоянии изменить скомпрометирован пароль, помните, что максимальная длина пароля и т. д.
отвечен yogsototh 2011-06-20 07:46:15
Это зависит от того, что вас беспокоит. Для широкомасштабной, автоматизированной атаки с использованием учетных данных с одного сайта на другие злоумышленник сначала пойдет за самой простой частью — людьми, использующими точно такой же пароль. Как только это будет исчерпано, если атака все еще остается незамеченной, злоумышленник будет искать то, что он считает общими шаблонами-вероятно, что-то вроде базового пароля + сайта.
умный нападающий, который уверен, что ее первоначальная атака (тот, который получил ваши пароли) остался незамеченным бы сделать эту обработку перед использованием паролей она добыта. В этом случае любая предсказуемая модификация опасна, насколько она очевидна для злоумышленника.
Если ваш пароль, скажем, префикс плюс случайный элемент и злоумышленник подозревает этого, и злоумышленник имеет свой хэш пароля на другом сайте, они могут получить другой пароль немного раньше.
вы можете создавать свои пароли с помощью хэширование что-то предсказуемое, но если эта практика станет распространенной или вы получите личное внимание от своего злоумышленника, это вас не спасет. В некотором смысле сила пароля является вопросом популярности арбитража.
tl;dr не делайте ничего детерминированного.
Источник: kompsekret.ru
Как узнать, скомпрометирован ли ваш электронный ящик
Взлом хакерами баз данных крупных интернет-компаний ставит под угрозу ваши конфиденциальные данные: аккаунты, пароли, данные кредитных карт. Узнайте, скомпрометировал ли ваш электронный ящик, а, возможно, вместе с ним и другая важная информация.
Многие из нас привыкли пользоваться парой-тройкой паролей на всех интернет-ресурсах. Это удобно, но чревато неприятными последствиями в случае взлома хакерами базы данных одного из используемых вами сервисов. В таком случае, одинаковый пароль ставит под угрозу ваши конфиденциальные данные на множестве других сайтов. Haveibeenpwned предлагает вам узнать, фигурирует ли адрес вашей электронной почты в списке взломанных аккаунтов крупнейших интернет-компаний.
Самая крупная утечка данных пользователей датируется октябрем сего года. Более 153 млн. аккаунтов всемирно известной компании Adobe были взломаны. Хакеры получили информацию о внутреннем идентификаторе, имени пользователя, адресе электронной почты и зашифрованном пароле.
Компания признала факт утечки, разослав пользователям соответствующие письма.
Adobe рекомендовала сменить пароль учетной записи, а также, в случае его использования на других ресурсах, аналогично поступить и там.
Haveibeenpwned содержит наиболее полную базу адресов электронной почты, попавших в недоброжелательные руки. Главная страница знакомит нас с количеством взломанных сайтов, учетных записей и электронных почтовых ящиков.
Введем в форму интересующий нас электронный ящик.
Как видим, данный адрес был скомпрометирован уже упомянутой утечкой от Adobe.
Рекомендуем сменить утекший повторяющийся пароль на всех ресурсах, где он используется.
Отличной новостью звучит заявление автора о последующей поддержке ресурса по мере появления информации о взломе баз данных крупных компаний. Так что стоит периодически заглядывать и проверять адреса своих электронных ящиков.
Уважаемые читатели, а вы попали в список потенциальных жертв интернет-преступников?
Источник: lifehacker.ru
Вопрос по Mail.ru
Друзья подскажите такой вопрос?
Имею много ящиков mail.ru
В последнее время повально началась такая тенденция: Приходит сообщение, что мой пароль скомпрометирован и для допуска ящика я ОБЯЗАН сообщить телефон, куда вышлют СМСку с паролем.
Доступ к ящику будет возвращен.
Я НЕ ХОЧУ сообщать mail.ru свой телефон. НЕ ИМЕЮ ЖЕЛАНИЯ,
Тем более, что для случая утери пароля я там вводил другой ящик и мне можно на него выслать пароль.
Но такого варианта даже НЕ предлагается! Строго прислать телефон и все.
Вопрос:
Эта безудержная тенденция никак не ломается?
Т.е бессмысленно писать в службу поддержки, что ящик типа мой и пришлите мне секретный вопрос указанный при его регистрации или прищ=шлите мне код на электронный адрес указный при регистрации ящика? требуется только телефон?
Или есть возможность сломать эту идиотскую схему принудительной ДЕ-анонимизации?
Я так же не могу понять, если пароль скомпрометирован, то какого болта просят телефон у человека вводящего якобы скомпрометированный пароль? А не ответ скажем на секретный вопрос?
Очевидно, что итог этой изумительной акции будет полный отказ от мейл ру. А жаль часть адресов еще с первого дня работы этот сервиса :0
Еще раз суть вопроса:
В этом случае выхода тольк два?
Закрыть ящик
Прислать вымогателям из мейл ру свою трубу?
Других вариантов никаких нет?
Источник: useful-faq.livejournal.com