ユーザーがサイトAで安全なパスワードを使用し、サイトBで異なるが同様の安全なパスワードを使用するとします。mySecure12#PasswordAサイトAとmySecure12#PasswordBサイトBのようなものかもしれません(意味があれば「類似性」の異なる定義を使用してください)。
次に、サイトAのパスワードが何らかの方法で侵害されたと仮定します。サイトAの悪意のある従業員またはセキュリティリークの可能性があります。これは、サイトBのパスワードも事実上危険にさらされていることを意味しますか、またはこのコンテキストで「パスワードの類似性」などはありませんか?サイトAでの侵害がプレーンテキストリークであるか、ハッシュ化されたバージョンであるかによって違いはありますか?
回答:
最後の部分に最初に答えるには:はい、開示されたデータがクリアテキストとハッシュされている場合、違いが生じます。ハッシュでは、単一の文字を変更すると、ハッシュ全体が完全に異なります。攻撃者がパスワードを知る唯一の方法は、ハッシュをブルートフォースすることです(特に、ハッシュが無塩の場合は不可能ではありません。レインボーテーブルを参照)。
類似性の質問に関しては、攻撃者があなたについて知っていることに依存します。サイトAでパスワードを取得し、ユーザー名などを作成するために特定のパターンを使用していることがわかっている場合、使用するサイトのパスワードで同じ規則を試すことができます。
あるいは、上記のパスワードで、攻撃者として、パスワードのサイト固有の部分を一般的なパスワード部分から分離するために使用できる明白なパターンを見つけた場合、カスタムパスワード攻撃のその部分を確実に調整しますあなたへ。
例として、58htg%HF!cのような非常に安全なパスワードがあるとします。さまざまなサイトでこのパスワードを使用するには、サイト固有の項目を先頭に追加して、facebook58htg%HF!c、wellsfargo58htg%HF!c、またはgmail58htg%HF!cのようなパスワードを使用します。 Facebookをハックしてfacebook58htg%HF!cを取得します。そのパターンを確認し、使用する可能性のある他のサイトで使用します。
それはすべてパターンに帰着します。攻撃者はパスワードのサイト固有の部分と一般的な部分にパターンを見ますか?
それは本当にあなたが何を得ているかにかかっています!
パスワードが他のパスワードと似ているかどうかを判断する方法は、任意の数あります。たとえば、パスワードカードを使用し、他の誰かが同じパスワードを持っている(または単にあなたが持っているものを知っている)としましょう。彼らがあなたのパスワードの1つを危険にさらし、それがパスワードカードの下にあることを見ることができるなら、彼らはあなたのパスワードがすべて同様の方法でそのカードから派生していると推測するでしょう。
しかし、ほとんどの場合、これはまったく問題ではありません。サービスAのパスワードがサービスBのパスワードと1文字だけ異なり、両方のサービスが安全な場合(たとえば、ストレートハッシュまたはプレーンテキスト自体の代わりにソルトハッシュをパスワードに保存する)、それは「計算上実行不可能」です。パスワードが類似しているかどうかを判断するために、もちろんそれらが類似していることを判断します。
簡単な答えは次のとおりです。パスワードが何らかのパターンに従う場合、はい、1つのパスワードの侵害が他のパスワードの侵害につながる可能性があります。しかし、それはそうすることが実現可能になるという意味ではありません。あなたが〜をするなら:
大丈夫です。また、サービスごとに異なるパスワードを常に使用することを忘れないでください。すべてに同じパスワードを使用しないでください。同じパスワードを2回使用しないでください。パスワードなどのユーザーデータの保存に関して、ベストプラクティスに従うことを拒否する愚かな会社から保護することが重要です。
私の短い答えはYESです。例:侵害されたstrongpassword + game.com、
私が愛着者であれば、あなたが使用したパターンを理解し、他のウェブサイトで試してみるのは本当に簡単です。たとえば、strongpassword + paypal.com
ああ!...
これを修正するために私は個人的に使用します:
hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )
ハッシュに関する数学プロパティを使用して(私はsha1を使用しています)、最初のパスワードを知っているので、strongpasswordと2番目のパスワードを見つけることは困難です。
詳細をお知りになりたい場合は、パスワードセキュリティに関するブログエントリを作成しました。
http://yannesposito.com/Scratch/en/blog/Password-Management/
侵害されたパスワードを変更したり、パスワードの最大長を覚えたりする必要があるため、すべてのパスワードを管理しやすくするためのツールもいくつか作成しました。
これは、あなたが心配しているものに依存します。1つのサイトから他のサイトの資格情報を使用した大規模な自動攻撃の場合、攻撃者は最初に最も簡単な部分、つまりまったく同じパスワードを使用する人々を攻撃します。使い果たされた後、攻撃がまだ気付かれていない場合、攻撃者は一般的なパターンと思われるものを探します。おそらく、基本パスワード+サイトのようなものです。
元の攻撃(パスワードを取得した攻撃)が見過ごされたと確信している巧妙な攻撃者は、マイニングしたパスワードを使用する前にこの処理を行います。その場合、攻撃者にとってそれがどれほど明白であるかに応じて、予測可能な変更は危険です。
あなたのパスワードは、言って、接頭辞を加えたランダムな要素であり、場合および攻撃者はこれを疑う、および攻撃者が別のサイトでパスワードのハッシュを持って、彼らは少し早く、あなたの他のパスワードを取得することができます。
予測可能なものをハッシュすることでパスワードを作成できますが、この方法が一般的になった場合、または攻撃者から個人的な注意を受けている場合、それはあなたを救いません。ある意味では、パスワードの強度は人気の裁定の問題です。
tl; drは決定論的なことは何もしません。
58htg%HF!c役に立たないようにしただけです、どうもありがとう