Jika Salah Satu Kata Sandi Saya Dikompromikan, Apakah Kata Sandi Lain Saya Juga Dikompromikan?
Jika salah satu kata sandi Anda disusupi, apakah itu berarti secara otomatis kata sandi Anda yang lain juga disusupi? Meskipun ada beberapa variabel yang berperan, pertanyaannya adalah pandangan yang menarik tentang apa yang membuat kata sandi rentan dan apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri.
Sesi Tanya Jawab hari ini datang kepada kami dengan izin dari SuperUser-subdivisi Stack Exchange, pengelompokan komunitas yang didorong oleh situs web T&J.
Pertanyaan
Pembaca SuperUser Michael McGowan ingin tahu seberapa jauh jangkauan dampak dari satu pelanggaran password; dia menulis:
Misalkan pengguna menggunakan kata sandi aman di situs A dan kata sandi aman berbeda tapi serupa di situs B. Mungkin sesuatu seperti
mySecure12 # Kata SandiA
di situs A danmySecure12 # Kata SandiB
di situs B (jangan ragu untuk menggunakan definisi "kesamaan" yang berbeda jika itu masuk akal).Misalkan kemudian bahwa kata sandi untuk situs A entah bagaimana dikompromikan ... mungkin karyawan jahat dari situs A atau kebocoran keamanan. Apakah ini berarti bahwa kata sandi situs B telah dikompromikan secara efektif juga, atau apakah tidak ada yang disebut "kesamaan kata sandi" dalam konteks ini? Apakah ada bedanya apakah kompromi di situs A adalah kebocoran teks biasa atau versi hash?
Haruskah Michael khawatir jika situasi hipotetisnya terjadi?
Jawabannya
Kontributor SuperUser membantu menjernihkan masalah untuk Michael. Kontributor superuser Queso menulis:
Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah teks-bersih vs hash. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandi adalah dengan memaksa paksa hash (bukan tidak mungkin, terutama jika hash tidak tawar. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang penyerang tahu tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas dapat saya gunakan untuk memisahkan bagian kata sandi khusus situs dari bagian kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus itu disesuaikan. kepadamu.
Sebagai contoh, katakan Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item spesifik situs di awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda dapat bertaruh jika saya retas facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan dapat Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian spesifik situs dan bagian umum kata sandi Anda?
Kontributor Superuser lain, Michael Trausch, menjelaskan bagaimana dalam kebanyakan situasi situasi hipotetis tidak terlalu memprihatinkan:
Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah teks-bersih vs hash. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandi adalah dengan memaksa paksa hash (bukan tidak mungkin, terutama jika hash tidak tawar. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang penyerang tahu tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas dapat saya gunakan untuk memisahkan bagian kata sandi khusus situs dari bagian kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus itu disesuaikan. kepadamu.
Sebagai contoh, katakan Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item spesifik situs di awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda dapat bertaruh jika saya retas facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan dapat Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian spesifik situs dan bagian umum kata sandi Anda?
Jika Anda khawatir bahwa daftar kata sandi Anda saat ini tidak beragam dan cukup acak, kami sangat menyarankan untuk memeriksa panduan keamanan kata sandi kami yang komprehensif: Cara Memulihkan Setelah Email Kata Sandi Anda Dikompromikan. Dengan mengerjakan ulang daftar kata sandi Anda seolah-olah ibu dari semua kata sandi, kata sandi email Anda, telah dikompromikan, mudah untuk mempercepat portofolio kata sandi Anda.
Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.