Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?

Índice:

Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?
Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?

Vídeo: Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?

Vídeo: Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?
Vídeo: "Dicionário de sinônimos" e "Dicionário analógico da língua portuguesa" | Professor Weslley Barbosa - YouTube 2024, Abril
Anonim

A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser, uma subdivisão do Stack Exchange, um agrupamento de comunidades de perguntas e respostas da comunidade.

A questão

Leitor de superusuário Michael McGowan está curioso para saber até onde vai o impacto de uma quebra de senha única; ele escreve:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

no site A e

mySecure12#PasswordB

no site B (fique à vontade para usar uma definição diferente de “semelhança” se fizer sentido).

Suponha, então, que a senha do site A esteja de alguma forma comprometida … talvez um funcionário mal-intencionado do site A ou um vazamento de segurança. Isso significa que a senha do site B também foi efetivamente comprometida ou não existe "semelhança de senha" nesse contexto? Faz alguma diferença se o comprometimento no site A foi um vazamento de texto sem formatação ou uma versão com hash?

Michael deveria se preocupar se sua situação hipotética se concretizar?

A resposta

Os colaboradores do SuperUser ajudaram a esclarecer o problema para Michael. O colaborador do superusuário Queso escreve:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Outro colaborador do Superusuário, Michael Trausch, explica como, na maioria das situações, a situação hipotética não é motivo de preocupação:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Se você tem medo de que sua lista atual de senhas não seja diversificada e aleatória, recomendamos que você consulte nosso guia abrangente de segurança de senhas: Como recuperar-se depois que sua senha de e-mail for comprometida. Ao refazer suas listas de senhas como se a senha de todas as senhas, sua senha de e-mail, tivesse sido comprometida, é fácil exibir rapidamente seu portfólio de senhas.

Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.

Recomendado:

Como remover os comentários de outras pessoas das suas postagens do Facebook

Como remover os comentários de outras pessoas das suas postagens do Facebook

Outras pessoas são as piores. Você coloca uma foto linda de você no Facebook e eles só têm que dizer as coisas mais mesquinhas.

U2F explicado: como o Google e outras empresas estão criando um token de segurança universal

U2F explicado: como o Google e outras empresas estão criando um token de segurança universal

O U2F é um novo padrão para tokens de autenticação universal de dois fatores. Esses tokens podem usar USB, NFC ou Bluetooth para fornecer autenticação de dois fatores em uma variedade de serviços. Ele já é suportado no Chrome, no Firefox e no Opera para contas do Google, do Facebook, do Dropbox e do GitHub.

O que é uma distribuição Linux e como são diferentes umas das outras?

O que é uma distribuição Linux e como são diferentes umas das outras?

Se você já ouviu falar alguma coisa sobre o Linux, provavelmente já ouviu falar de distribuições Linux - muitas vezes encurtadas para “distros Linux”. Ao decidir usar o Linux - em um computador desktop ou servidor - primeiro você precisa escolher uma distro. .

Uma conexão Wi-Fi de longo alcance pode funcionar se uma extremidade não estiver usando uma antena de alto ganho?

Uma conexão Wi-Fi de longo alcance pode funcionar se uma extremidade não estiver usando uma antena de alto ganho?

Quando você está configurando uma conexão Wi-Fi de longo alcance, você quer ter certeza de que sua conexão é tão sólida quanto possível, mas você pode usar uma mistura de tipos de antena ou você deve ir apenas com alto ganho? A postagem de perguntas e respostas do SuperUser de hoje tem as respostas para uma pergunta confusa do leitor.

Os funcionários do Google podem ver minhas senhas salvas do Google Chrome?

Os funcionários do Google podem ver minhas senhas salvas do Google Chrome?

Armazenar suas senhas no seu navegador da Web parece ser uma grande economia de tempo, mas as senhas são seguras e inacessíveis para outras pessoas (até mesmo para os funcionários da empresa de navegadores) quando são esquecidas?