Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?

Table des matières:

Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?
Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?

Vidéo: Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?

Vidéo: Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?
Vidéo: 360 LIVE: Mesh to Solid - YouTube 2024, Avril
Anonim

La séance de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté.

La question

Le lecteur SuperUser, Michael McGowan, est curieux de voir l’impact d’une violation de mot de passe unique. il écrit:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like

mySecure12#PasswordA

sur le site A et

mySecure12#PasswordB

sur le site B (n'hésitez pas à utiliser une définition différente de la «similarité» si cela a du sens).

Supposons alors que le mot de passe du site A soit en quelque sorte compromis… peut-être un employé malveillant du site A ou une faille de sécurité. Cela signifie-t-il que le mot de passe du site B a également été effectivement compromis, ou existe-t-il une «similarité de mot de passe» dans ce contexte? Est-ce que cela fait une différence que le compromis sur le site A soit une fuite de texte brut ou une version hachée?

Michael devrait-il s'inquiéter si sa situation hypothétique se concrétisait?

La réponse

Les contributeurs SuperUser ont aidé à résoudre le problème pour Michael. Le contributeur superutilisateur Queso écrit:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Un autre contributeur de superutilisateur, Michael Trausch, explique comment, dans la plupart des situations, la situation hypothétique n’a guère de raison de s’inquiéter:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Si vous pensez que votre liste de mots de passe actuelle n’est pas assez diversifiée et aléatoire, nous vous recommandons vivement de consulter notre guide complet sur la sécurité des mots de passe: Comment récupérer après que votre mot de passe d’email soit compromis. En retravaillant vos listes de mots de passe comme si la mère de tous les mots de passe, votre mot de passe de messagerie, avait été compromise, il est facile de mettre rapidement votre portefeuille de mots de passe à niveau.

Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.

Conseillé:

Les autres personnes sont-elles autorisées à utiliser mes tweets?

Les autres personnes sont-elles autorisées à utiliser mes tweets?

Tant que votre compte Twitter n’est pas privé, toutes les pensées que vous transmettez peuvent être vues par n’importe qui dans le monde. Toutefois, tous les mots ou photos que vous tweetez, tant qu’ils sont originaux, sont vôtres et, sauf circonstances particulières, ne peuvent être utilisés sans votre permission. Alors, que peuvent faire les autres personnes avec vos Tweets? Quelqu'un peut-il prendre votre Tweet et le publier sur son site Web?

Vos mots de passe sont terribles et il est temps de faire quelque chose

Vos mots de passe sont terribles et il est temps de faire quelque chose

Une nouvelle année est à nos portes et des millions d’entre nous utilisent encore des mots de passe absolument horribles. Ce ne doit pas être comme ça. Vous allez faire de cette année une année d’excellents mots de passe et nous allons vous montrer comment.

Comment utiliser le gestionnaire de mots de passe de Google pour synchroniser vos mots de passe partout

Comment utiliser le gestionnaire de mots de passe de Google pour synchroniser vos mots de passe partout

Saviez-vous que Google dispose de son propre gestionnaire de mots de passe? C’est plus qu’une simple synchronisation du mot de passe intégrée au navigateur Chrome: la solution de Google propose également une application Web, des applications mobiles, une intégration poussée avec Android et la génération automatique de mots de passe forts.

Comment récupérer une fois que votre mot de passe est compromis

Comment récupérer une fois que votre mot de passe est compromis

Vos amis signalent des spams et des demandes d'argent provenant de votre compte de messagerie et certaines de vos connexions ne fonctionnent pas. vous avez été compromis. Lisez la suite pour savoir quoi faire maintenant et comment vous protéger à l'avenir.

Usurpation de mot de passe et comment les mots de passe de connexion sont volés

Usurpation de mot de passe et comment les mots de passe de connexion sont volés

La falsification de mot de passe est une attaque de phishing stratégique courante menée par les cybercriminels pour voler vos informations de connexion. Découvrez comment vous pouvez éviter l'usurpation de mot de passe.