Pertanyaan Jika kata sandi disusupi, apakah kata sandi “serupa” juga dikompromikan?


Misalkan pengguna menggunakan kata sandi yang aman di situs A dan kata sandi aman yang berbeda tetapi serupa di situs B. Mungkin sesuatu seperti mySecure12#PasswordA di situs A dan mySecure12#PasswordB di situs B (jangan ragu untuk menggunakan definisi "kesamaan" yang berbeda jika itu masuk akal).

Anggaplah kemudian bahwa kata sandi untuk situs A entah bagaimana dikompromikan ... mungkin seorang karyawan jahat situs A atau kebocoran keamanan. Apakah ini berarti bahwa kata sandi situs B secara efektif telah dikompromikan juga, atau apakah tidak ada yang namanya "kesamaan kata sandi" dalam konteks ini? Apakah ada bedanya apakah kompromi di situs A adalah kebocoran teks biasa atau versi berciri?


37
2018-06-20 01:11


asal




Jawaban:


Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah cleartext vs. hashed. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan kasar memaksa hash (tidak mustahil, terutama jika hash tidak berbasa. Lihat tabel pelangi).

Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.

Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian khusus situs dari kata sandi dari porsi kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus yang disesuaikan kepadamu.

Sebagai contoh, katakanlah Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item khusus situs ke awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda bisa bertaruh jika saya hack facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan yang mungkin Anda gunakan.

Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian khusus situs dan porsi umum kata sandi Anda?


38
2018-06-20 02:44



Anda baru saja membuat kata sandi default di mana-mana 58htg%HF!c tidak berguna, terima kasih banyak - Tobias Kienzler
Wow! Apa kemungkinannya? Jangan pergi dalam badai petir untuk sementara waktu. - queso
hm, saya harus bermain lotere meskipun: -7 (+1 btw) - Tobias Kienzler


Itu benar-benar tergantung pada apa yang Anda dapatkan!

Ada sejumlah metode acak untuk menentukan apakah kata sandi mirip dengan yang lain. Katakanlah misalnya Anda menggunakan kartu kata sandi, dan entah bagaimana orang lain memiliki yang sama (atau hanya tahu yang mana yang Anda miliki). Jika mereka mengkompromikan salah satu kata sandi Anda dan dapat melihat bahwa itu hanya baris ke bawah kartu kata sandi, mereka mungkin menebak (bahkan mungkin dengan benar) bahwa kata sandi Anda semua berasal dari kartu itu dengan cara yang sama.

Tapi, untuk sebagian besar hal ini sebenarnya bukan masalah sama sekali. Jika kata sandi Anda pada layanan A berbeda dari kata sandi pada layanan B hanya dengan satu karakter, dan kedua layanan tersebut aman (misalnya, menyimpan hash asin untuk kata sandi Anda, bukan hash lurus atau plainteks itu sendiri) maka itu adalah "komputasi tidak layak" untuk menentukan apakah kata sandi mirip, apalagi seberapa miripnya.

Jawaban singkatnya adalah: Jika kata sandi Anda mengikuti pola apa pun, maka ya, kemungkinan kompromi satu kata sandi akan mengarah pada kompromi orang lain. Namun, itu tidak berarti bahwa itu akan layak untuk dilakukan. Selama Anda:

  1. Jangan pernah menggunakan kata sandi yang sama untuk lebih dari satu layanan,
  2. Perkenalkan beberapa elemen acak (meskipun hanya sedikit) ke dalam pembuatan kata sandi Anda, dan
  3. Jangan pernah mengirim atau menyimpan kata sandi Anda dalam teks yang jelas

Anda seharusnya baik-baik saja. Dan ingatlah untuk selalu memiliki kata sandi yang berbeda untuk layanan yang berbeda - jangan hanya menggunakan kata sandi yang sama untuk semuanya, dan bahkan tidak menggunakan kata sandi yang sama dua kali. Penting untuk menjaga terhadap perusahaan bodoh yang menolak untuk mengikuti praktik terbaik ketika menyangkut penyimpanan data pengguna seperti kata sandi.


11
2018-06-20 03:55





Jawaban singkat saya adalah IYA NIH. Misalnya: strongpassword + game.com dikompromikan,

Jika saya seorang attaquer, sangat mudah bagi saya untuk memahami pola yang Anda gunakan dan mencobanya di situs web lain. Misalnya strongpassword + paypal.com

Argh! ....

Untuk memperbaiki ini saya pribadi menggunakan:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

Menggunakan properti matematika tentang hash (saya menggunakan sha1), mengetahui kata sandi pertama sulit untuk menemukan kata sandi yang kuat dan kata sandi kedua.

Jika Anda ingin lebih banyak detail, saya membuat entri blog tentang keamanan kata sandi yang menjawab persis pertanyaan Anda:

http://yannesposito.com/Scratch/en/blog/Password-Management/

Saya juga membuat beberapa alat untuk memudahkan mengelola semua kata sandi saya, karena Anda harus dapat mengubah kata sandi yang disusupi, mengingat panjang maksimal kata sandi, dll ...


7
2018-06-20 07:46



SHA-1 tidak lagi dianggap aman secara matematis. - Hello71
@ Hello71 apakah Anda memiliki sumber untuk itu? Saya ingin tahu untuk membaca lebih lanjut. - nhinkle♦
tinsology.net/2010/12/is-sha1-still-viable diakui sebagai kasus terbatas, tetapi mampu mencari 6 karakter pertama dari ruang kunci yang cepat pada sumber daya yang disewa berarti seseorang dengan botnet dan tabel pelangi dapat melakukan lebih banyak lagi. Sebagai aturan umum, semua hal lain dianggap sama, apa pun hash / enkripsi yang menghabiskan sebagian besar siklus CPU ke brute force adalah yang terbaik. :) - Stephanie


Ini tergantung pada apa yang Anda khawatirkan. Untuk skala luas, serangan otomatis menggunakan kredensial dari satu situs ke situs lain, penyerang akan pergi setelah bagian yang termudah pertama - orang-orang menggunakan kata sandi yang sama persis. Setelah itu telah habis, jika serangan itu masih tanpa disadari, penyerang akan mencari apa yang menurutnya pola umum - mungkin sesuatu seperti kata sandi dasar + situs.

Seorang penyerang cerdas yang yakin bahwa serangan asalnya (yang mendapatkan kata sandi Anda) tanpa diketahui akan melakukan pemrosesan ini sebelum menggunakan kata sandi yang ditambang. Dalam hal ini, modifikasi yang dapat diprediksi berbahaya, sesuai dengan seberapa jelas itu bagi penyerang.

Jika kata sandi Anda, katakanlah, awalan ditambah elemen acak, dan penyerang mencurigai ini, dan penyerang memiliki hash kata sandi Anda di situs lain, mereka bisa mendapatkan kata sandi Anda yang lain sedikit lebih cepat.

Anda dapat membuat kata sandi dengan hashing sesuatu yang dapat diprediksi, tetapi jika praktik ini menjadi umum atau Anda menerima perhatian pribadi dari penyerang Anda, itu tidak akan menyelamatkan Anda. Dalam beberapa hal, kekuatan kata sandi adalah masalah arbitrase popularitas.

tl; dr tidak melakukan sesuatu yang deterministik.


4
2018-06-20 14:18