Если пароль скомпрометирован, «схожий» пароль также скомпрометирован?

Предположим, что пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. Может быть, что-то похожее mySecure12#PasswordAна сайт A и mySecure12#PasswordBна сайт B (не стесняйтесь использовать другое определение «сходства», если это имеет смысл).

Предположим, что пароль для сайта A каким-то образом скомпрометирован ... возможно, злонамеренный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был эффективно скомпрометирован, или в этом контексте не существует такой вещи, как «сходство паролей»? Имеет ли какое-то значение, был ли компромисс на сайте A утечкой в ​​виде простого текста или хешированной версией?

Сначала ответим на последнюю часть: Да, было бы важно, если бы раскрываемые данные были открытым текстом или хэшем. В хэше, если вы измените один символ, весь хэш будет совершенно другим. Единственный способ, которым злоумышленник узнает пароль, - это взломать хэш (это невозможно, особенно если хэш несоленый. См. Радужные таблицы ).

Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или тому подобное, я могу попробовать те же соглашения в отношении паролей на сайтах, которые вы используете.

В качестве альтернативы, в паролях, которые вы приводите выше, если я как злоумышленник вижу очевидный шаблон, который я могу использовать, чтобы отделить специфичную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть атаки с использованием специального пароля специально тебе.

Например, скажем, у вас есть супер защищенный пароль, например 58htg% HF! C. Чтобы использовать этот пароль на разных сайтах, вы добавляете элемент, специфичный для сайта, в начале, чтобы у вас были пароли, такие как: facebook58htg% HF! C, wellsfargo58htg% HF! C или gmail58htg% HF! C, вы можете сделать ставку, если я взломайте ваш facebook и получите facebook58htg% HF! c Я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать.

Все сводится к шаблонам. Увидит ли злоумышленник шаблон в определенной для сайта части и общую часть вашего пароля?

Это действительно зависит от того, что вы получаете!

Существует произвольное количество методов для определения того, похож ли пароль на другой. Скажем, например, что вы используете карточку пароля и что кто-то другой имеет такую ​​же (или просто знает, какая у вас). Если они скомпрометируют один из ваших паролей и увидят, что это всего лишь строка с парольной картой, они, вероятно, догадаются (возможно, даже правильно), что все ваши пароли получены из этой карты аналогичным образом.

Но для большинства вещей это действительно не проблема вообще. Если ваш пароль в службе A отличается от пароля в службе B только на один символ, и обе службы безопасны (например, хранят соленые хеши для вашего пароля вместо прямого хеш-кода или самого открытого текста), то это «вычислительно невозможно» чтобы определить, похожи ли пароли, не говоря уже о том, насколько они похожи.

Короткий ответ таков: если ваши пароли следуют какой-либо схеме, то да, вполне вероятно, что компрометация одного пароля приведет к компрометации других. Однако это не означает, что это будет возможно сделать. До тех пор, как вы:

1. Никогда не используйте один и тот же пароль для более чем одного сервиса,
2. Введите какой-нибудь случайный (хотя бы немного) элемент в генерацию ваших паролей, и
3. Никогда не передавайте и не сохраняйте ваши пароли в открытом виде

Вы должны быть в порядке. И не забывайте всегда иметь разные пароли для разных сервисов - просто не используйте один и тот же пароль для всех и даже не используйте один и тот же пароль дважды. Важно защититься от глупых компаний, которые отказываются следовать передовым методам, когда дело доходит до хранения пользовательских данных, таких как пароли.

Мой короткий ответ - ДА . Например: strongpassword + game.com взломан,

Если я нападающий, мне очень легко понять шаблон, который вы использовали, и попробовать его на других сайтах. Например, сильный пароль + paypal.com

Argh! ....

Чтобы исправить это, я лично использую:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Используя математические свойства хэша (я использую sha1), зная первый пароль, трудно найти пароль и второй пароль.

Если вы хотите больше информации, я сделал запись в блоге о безопасности пароля, которая точно отвечает на ваш вопрос:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Я также сделал несколько инструментов, чтобы упростить управление всеми моими паролями, потому что вы должны иметь возможность сменить взломанный пароль, запомнить максимальную длину пароля и т. Д.

Это зависит от того, что вы беспокоитесь. При широкомасштабной автоматической атаке с использованием учетных данных с одного сайта на другом, злоумышленник в первую очередь выберет самую простую часть - люди, использующие точно такой же пароль. Как только это будет исчерпано, если атака все еще остается незамеченной, злоумышленник будет искать то, что он считает общими шаблонами - вероятно, что-то вроде базового пароля + сайт.

Умный злоумышленник, который уверен, что ее первоначальная атака (та, которая получила ваши пароли) осталась незамеченной, должна выполнить эту обработку перед использованием паролей, которые она добыла. В этом случае любая предсказуемая модификация опасна, в зависимости от того, насколько она очевидна для атакующего.

Если ваш пароль, скажем, префикс плюс случайный элемент, и злоумышленник подозревает это, и у злоумышленника есть ваш хэш пароля на другом сайте, он может получить ваш другой пароль немного раньше.

Вы можете создать свои пароли, хэшируя что-то предсказуемое, но если эта практика становится вообще распространенной или вы получаете личное внимание от вашего злоумышленника, это не спасет вас. В некотором смысле надежность пароля зависит от популярности арбитража.

TL; Dr не делать ничего детерминированного.