Pagina inicial » como » Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?

    Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?

    Se uma de suas senhas for comprometida, isso significa automaticamente que suas outras senhas também estão comprometidas? Embora existam algumas variáveis ​​em jogo, a questão é um olhar interessante sobre o que torna uma senha vulnerável e o que você pode fazer para se proteger..

    A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas da comunidade..

    A questão

    Leitor de superusuário Michael McGowan está curioso para saber até onde vai o impacto de uma quebra de senha única; ele escreve:

    Suponha que um usuário use uma senha segura no site A e uma senha segura diferente, mas semelhante, no site B. Talvez algo como mySecure12 # PasswordA no site A e mySecure12 # PasswordB no site B (fique à vontade para usar uma definição diferente de “similaridade” se fizer sentido).

    Suponha, então, que a senha do site A esteja de alguma forma comprometida ... talvez um funcionário mal-intencionado do site A ou um vazamento de segurança. Isso significa que a senha do site B também foi efetivamente comprometida, ou não existe “semelhança de senha” nesse contexto? Faz alguma diferença se o compromisso no site A foi um vazamento de texto sem formatação ou uma versão com hash?

    Michael deve se preocupar se sua situação hipotética se concretizar??

    A resposta

    Os colaboradores do SuperUser ajudaram a esclarecer o problema para Michael. O colaborador do superusuário Queso escreve:

    Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto puro versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não impossível, especialmente se o hash estiver sem sal. Ver tabelas de arco-íris).

    Quanto à questão da similaridade, dependeria do que o invasor sabe sobre você. Se eu obtiver sua senha no site A e se souber que você usa determinados padrões para criar nomes de usuário ou algo semelhante, posso tentar as mesmas convenções em senhas nos sites que você usa.

    Alternativamente, nas senhas que você dá acima, se eu como atacante ver um padrão óbvio que eu possa usar para separar uma parte específica do site da senha da parte genérica da senha, eu definitivamente farei parte de um ataque personalizado de senha customizado para você.

    Por exemplo, digamos que você tenha uma senha super segura como 58htg% HF! C. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear o seu facebook e obter facebook58htg% HF! c vou ver esse padrão e usá-lo em outros sites eu acho que você pode usar.

    Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha??

    Outro colaborador do Superusuário, Michael Trausch, explica como, na maioria das situações, a situação hipotética não é muito preocupante:

    Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto puro versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não impossível, especialmente se o hash estiver sem sal. Ver tabelas de arco-íris).

    Quanto à questão da similaridade, dependeria do que o invasor sabe sobre você. Se eu obtiver sua senha no site A e se souber que você usa determinados padrões para criar nomes de usuário ou algo semelhante, posso tentar as mesmas convenções em senhas nos sites que você usa.

    Alternativamente, nas senhas que você dá acima, se eu como atacante ver um padrão óbvio que eu possa usar para separar uma parte específica do site da senha da parte genérica da senha, eu definitivamente farei parte de um ataque personalizado de senha customizado para você.

    Por exemplo, digamos que você tenha uma senha super segura como 58htg% HF! C. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear o seu facebook e obter facebook58htg% HF! c vou ver esse padrão e usá-lo em outros sites eu acho que você pode usar.

    Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha??

    Se você está preocupado que sua lista atual de senhas não é diversa e aleatória o suficiente, recomendamos que você consulte nosso abrangente guia de segurança de senha: Como recuperar depois que sua senha de e-mail for comprometida. Ao refazer as suas listas de senhas como se a senha de todas as senhas, sua senha de e-mail, estivesse comprometida, é fácil trazer rapidamente sua carteira de senhas para a velocidade.

    Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.

    Se você ainda não experimentou um teclado mecânico, está perdendo
    Se você mora na UE, provavelmente tem uma garantia de dispositivo melhor
    Se os personagens de Game of Thrones eram seus clientes de design
    Artigo seguinte
    Se você bloquear todas as conexões de entrada, como você ainda pode usar a Internet?
    Artigo anterior
    Se eu comprar um computador com Windows 8 e inicialização segura, ainda posso instalar o Linux?