Se uma das minhas senhas estiver comprometida, minhas outras senhas também estão comprometidas?
Se uma de suas senhas for comprometida, isso significa automaticamente que suas outras senhas também estão comprometidas? Embora existam algumas variáveis em jogo, a questão é um olhar interessante sobre o que torna uma senha vulnerável e o que você pode fazer para se proteger..
A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas da comunidade..
A questão
Leitor de superusuário Michael McGowan está curioso para saber até onde vai o impacto de uma quebra de senha única; ele escreve:
Suponha que um usuário use uma senha segura no site A e uma senha segura diferente, mas semelhante, no site B. Talvez algo como
mySecure12 # PasswordA
no site A emySecure12 # PasswordB
no site B (fique à vontade para usar uma definição diferente de “similaridade” se fizer sentido).Suponha, então, que a senha do site A esteja de alguma forma comprometida ... talvez um funcionário mal-intencionado do site A ou um vazamento de segurança. Isso significa que a senha do site B também foi efetivamente comprometida, ou não existe “semelhança de senha” nesse contexto? Faz alguma diferença se o compromisso no site A foi um vazamento de texto sem formatação ou uma versão com hash?
Michael deve se preocupar se sua situação hipotética se concretizar??
A resposta
Os colaboradores do SuperUser ajudaram a esclarecer o problema para Michael. O colaborador do superusuário Queso escreve:
Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto puro versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não impossível, especialmente se o hash estiver sem sal. Ver tabelas de arco-íris).
Quanto à questão da similaridade, dependeria do que o invasor sabe sobre você. Se eu obtiver sua senha no site A e se souber que você usa determinados padrões para criar nomes de usuário ou algo semelhante, posso tentar as mesmas convenções em senhas nos sites que você usa.
Alternativamente, nas senhas que você dá acima, se eu como atacante ver um padrão óbvio que eu possa usar para separar uma parte específica do site da senha da parte genérica da senha, eu definitivamente farei parte de um ataque personalizado de senha customizado para você.
Por exemplo, digamos que você tenha uma senha super segura como 58htg% HF! C. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear o seu facebook e obter facebook58htg% HF! c vou ver esse padrão e usá-lo em outros sites eu acho que você pode usar.
Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha??
Outro colaborador do Superusuário, Michael Trausch, explica como, na maioria das situações, a situação hipotética não é muito preocupante:
Para responder a última parte primeiro: Sim, faria diferença se os dados divulgados fossem texto puro versus hash. Em um hash, se você alterar um único caractere, o hash inteiro será completamente diferente. A única maneira de um invasor saber a senha é forçar o hash com força bruta (não impossível, especialmente se o hash estiver sem sal. Ver tabelas de arco-íris).
Quanto à questão da similaridade, dependeria do que o invasor sabe sobre você. Se eu obtiver sua senha no site A e se souber que você usa determinados padrões para criar nomes de usuário ou algo semelhante, posso tentar as mesmas convenções em senhas nos sites que você usa.
Alternativamente, nas senhas que você dá acima, se eu como atacante ver um padrão óbvio que eu possa usar para separar uma parte específica do site da senha da parte genérica da senha, eu definitivamente farei parte de um ataque personalizado de senha customizado para você.
Por exemplo, digamos que você tenha uma senha super segura como 58htg% HF! C. Para usar essa senha em sites diferentes, adicione um item específico do site ao início, para que você tenha senhas como: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C, você pode apostar se eu hackear o seu facebook e obter facebook58htg% HF! c vou ver esse padrão e usá-lo em outros sites eu acho que você pode usar.
Tudo se resume a padrões. O invasor verá um padrão na parte específica do site e na parte genérica da sua senha??
Se você está preocupado que sua lista atual de senhas não é diversa e aleatória o suficiente, recomendamos que você consulte nosso abrangente guia de segurança de senha: Como recuperar depois que sua senha de e-mail for comprometida. Ao refazer as suas listas de senhas como se a senha de todas as senhas, sua senha de e-mail, estivesse comprometida, é fácil trazer rapidamente sua carteira de senhas para a velocidade.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.