यदि किसी पासवर्ड से छेड़छाड़ की जाती है, तो क्या "समान" पासवर्ड से भी समझौता किया जाता है?


37

मान लीजिए कि कोई उपयोगकर्ता साइट A पर एक सुरक्षित पासवर्ड mySecure12#PasswordAऔर mySecure12#PasswordBसाइट B पर एक अलग लेकिन समान सुरक्षित पासवर्ड का उपयोग करता है। शायद साइट A और साइट B पर कुछ ऐसा है (यदि यह समझ में आता है तो "समानता" की एक अलग परिभाषा का उपयोग करने के लिए स्वतंत्र महसूस करें)।

मान लीजिए कि साइट ए के लिए पासवर्ड किसी तरह समझौता किया गया है ... शायद साइट ए का दुर्भावनापूर्ण कर्मचारी या सुरक्षा रिसाव। क्या इसका मतलब यह है कि साइट बी के पासवर्ड को प्रभावी ढंग से समझौता किया गया है, या इस संदर्भ में "पासवर्ड समानता" जैसी कोई चीज नहीं है? क्या इससे कोई फर्क पड़ता है कि साइट ए पर समझौता एक सादा पाठ लीक या एक हैशेड संस्करण था?

जवाबों:


38

पहले भाग का उत्तर देने के लिए: हाँ, यह स्पष्ट होगा कि यदि डेटा का खुलासा किया गया है तो यह स्पष्ट है। एक हैश में, यदि आप किसी एकल वर्ण को बदलते हैं, तो पूरा हैश पूरी तरह से अलग होता है। जिस तरह से एक हमलावर को पता होता है कि पासवर्ड हैश को बल देने के लिए है (असंभव नहीं है, खासकर अगर हैश अनसाल्टेड है। इंद्रधनुष सारणी देखें )।

जहाँ तक समानता का सवाल है, यह इस बात पर निर्भर करेगा कि हमलावर आपके बारे में क्या जानता है। यदि मुझे साइट A पर आपका पासवर्ड मिलता है और यदि मुझे पता है कि आप उपयोगकर्ता नाम या इस तरह के बनाने के लिए कुछ पैटर्न का उपयोग करते हैं, तो मैं आपके द्वारा उपयोग की जाने वाली साइटों पर पासवर्ड पर उन्हीं सम्मेलनों की कोशिश कर सकता हूं।

वैकल्पिक रूप से, आपके द्वारा दिए गए पासवर्ड में, यदि मैं एक हमलावर के रूप में एक स्पष्ट पैटर्न देखता हूं, जिसका उपयोग मैं पासवर्ड के साइट-विशिष्ट हिस्से को जेनेरिक पासवर्ड भाग से अलग करने के लिए कर सकता हूं, तो मैं निश्चित रूप से कस्टम पासवर्ड हमले के उस हिस्से को अनुरूप बनाऊंगा आप को।

उदाहरण के लिए, मान लें कि आपके पास 58htg% HF! C जैसे सुपर सिक्योर पासवर्ड हैं। अलग-अलग साइटों पर इस पासवर्ड का उपयोग करने के लिए, आप शुरुआत में एक साइट-विशिष्ट आइटम जोड़ते हैं, ताकि आपके पास पासवर्ड हों जैसे: facebook58g% HF! C, wellsfargo58htg% HF! C, या gmail58htg% HF! C, आप शर्त लगा सकते हैं कि मैं क्या कर सकता हूँ! अपने फेसबुक को हैक करें और facebook58htg% HF प्राप्त करें! c मैं उस पैटर्न को देखने जा रहा हूं और इसे अन्य साइटों पर उपयोग कर रहा हूं, मुझे लगता है कि आप उपयोग कर सकते हैं।

यह सब पैटर्न के लिए नीचे आता है। क्या हमलावर साइट-विशिष्ट भाग और आपके पासवर्ड के सामान्य भाग में एक पैटर्न देखेगा?


4
तुम बस 58htg%HF!cबेकार हर जगह मेरे डिफ़ॉल्ट गाया , बहुत बहुत धन्यवाद
Tobias Kienzler

1
वाह! क्या हालात थे? थोड़ी देर के लिए किसी भी बिजली के तूफान में बाहर मत जाओ।
queso

हम्म, मुझे लॉटरी
खेलनी

11

यह वास्तव में आप पर क्या हो रहा है पर निर्भर करता है!

एक पासवर्ड एक दूसरे के समान है या नहीं, यह निर्धारित करने के लिए एक मनमानी संख्या है। उदाहरण के लिए मान लें कि आप एक पासवर्ड कार्ड का उपयोग करते हैं , और यह कि किसी और के पास एक ही है (या बस आपको कौन सा पता है)। यदि वे आपके किसी एक पासवर्ड से छेड़छाड़ करते हैं और देख सकते हैं कि यह पासवर्ड कार्ड के नीचे एक पंक्ति है, तो वे अनुमान लगा सकते हैं (शायद सही ढंग से भी) कि आपके पासवर्ड समान रूप से उस कार्ड से प्राप्त किए गए हैं।

लेकिन, ज्यादातर चीजों के लिए यह वास्तव में एक मुद्दा नहीं है। यदि सेवा पर आपका पासवर्ड केवल एकल वर्ण द्वारा सेवा B पर पासवर्ड से भिन्न है, और दोनों सेवाएँ सुरक्षित हैं (उदाहरण के लिए, सीधे हैश या प्लेनटेक्स्ट के बजाय अपने पासवर्ड के लिए नमकीन हैश स्टोर करें) तो यह "कम्प्यूटेशनल इन्फैटेबल" है यह निर्धारित करने के लिए कि क्या पासवर्ड समान हैं, अकेले कैसे समान हैं।

एक संक्षिप्त उत्तर यह है: यदि आपके पासवर्ड किसी भी प्रकार के पैटर्न का अनुसरण करते हैं, तो हाँ, यह संभावना है कि एक पासवर्ड के समझौते से दूसरों के समझौता हो जाएंगे। हालांकि, इसका मतलब यह नहीं है कि यह ऐसा करने के लिए संभव होने जा रहा है। जब तक आप:

  1. कभी भी एक से अधिक सेवाओं के लिए एक ही पासवर्ड का उपयोग न करें,
  2. अपने पासवर्ड की पीढ़ी में कुछ यादृच्छिक (भले ही केवल थोड़ा) तत्व का परिचय दें, और
  3. कभी भी अपने पासवर्ड को क्लीयरटेक्स में ट्रांसमिट या सेव न करें

आपको बस ठीक होना चाहिए। और हमेशा याद रखें कि अलग-अलग सेवाओं के लिए हमेशा अलग-अलग पासवर्ड होते हैं - बस हर चीज के लिए एक ही पासवर्ड का उपयोग न करें और दो बार एक ही पासवर्ड का उपयोग भी न करें। बेवकूफ कंपनियों के खिलाफ रक्षा करना महत्वपूर्ण है जो पासवर्ड जैसे उपयोगकर्ता डेटा के भंडारण की बात आने पर सर्वोत्तम प्रथाओं का पालन करने से इनकार करते हैं।


7

मेरा संक्षिप्त उत्तर हां है । उदाहरण के लिए: strongpassword + game.com समझौता,

यदि मैं एक अभ्यस्त हूं तो आपके लिए उपयोग किए गए पैटर्न को समझना और अन्य वेबसाइटों पर इसे आज़माना मेरे लिए वास्तव में आसान है। उदाहरण के लिए strongpassword + paypal.com

अरे! ....

इसे ठीक करने के लिए मैं व्यक्तिगत रूप से उपयोग करता हूं:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

हैश के बारे में गणितीय गुणों का उपयोग करना (मैं sha1 का उपयोग करता हूं), पहला पासवर्ड जानने के बाद मजबूत पासवर्ड और दूसरा पासवर्ड की खोज करना मुश्किल है।

यदि आप अधिक विवरण भटकते हैं, तो मैंने पासवर्ड सुरक्षा के बारे में एक ब्लॉग प्रविष्टि की, जो आपके प्रश्न का सटीक उत्तर देती है:

http://yannesposito.com/Scratch/en/blog/Password-Management/

मैंने अपने सभी पासवर्ड को प्रबंधित करने में आसान बनाने के लिए कुछ उपकरण भी बनाए, क्योंकि आपको एक समझौता किए गए पासवर्ड को बदलने में सक्षम होना चाहिए, पासवर्ड की अधिकतम लंबाई याद रखना, आदि ...


1
SHA-1 को अब गणितीय रूप से सुरक्षित नहीं माना जाता है।
हैलो'१

4
@ Hello71 क्या आपके पास इसके लिए कोई स्रोत है? मैं और अधिक पढ़ने के लिए उत्सुक हूँ।
nhinkle

tinsology.net/2010/12/is-sha1-still-viable ने स्वीकार किया कि यह एक सीमित मामला है, लेकिन कुंजी क्षेत्र के पहले 6 पात्रों को खोजने में सक्षम होने के नाते जो कि किराए के संसाधनों पर जल्दी से मतलब है कि किसी व्यक्ति के पास बॉटनेट और इंद्रधनुष टेबल बहुत अधिक हो सकते हैं । एक सामान्य नियम के रूप में, अन्य सभी चीजें समान हो रही हैं, जो भी हैश / एन्क्रिप्शन सबसे सीपीयू साइकिल को बल देने के लिए बर्बाद करता है वह सबसे अच्छा है। :)
स्टेफनी

4

यह इस बात पर निर्भर करता है कि आप किस बारे में चिंतित हैं। एक व्यापक पैमाने के लिए, दूसरों पर एक साइट से क्रेडेंशियल्स का उपयोग करके स्वचालित हमला, हमलावर पहले सबसे आसान हिस्से के बाद जाएगा - लोग बिल्कुल उसी पासवर्ड का उपयोग कर रहे हैं। एक बार जब यह समाप्त हो गया है, अगर हमला अभी भी किसी का ध्यान नहीं है, तो हमलावर वह देखेगा जो वह सोचता है कि सामान्य पैटर्न हैं - शायद आधार पासवर्ड + साइट जैसी कोई चीज।

एक चतुर हमलावर जो निश्चित है कि उसका मूल हमला (जो आपके पासवर्ड मिला) किसी का ध्यान नहीं गया, वह पासवर्ड का उपयोग करने से पहले इस प्रसंस्करण को करेगा। उस स्थिति में, कोई भी अनुमान लगाने योग्य संशोधन खतरनाक है, जो हमलावर के लिए कितना स्पष्ट है, उसके अनुसार।

यदि आपका पासवर्ड है, तो कहें, एक उपसर्ग और एक यादृच्छिक तत्व, और हमलावर को इस पर संदेह है, और हमलावर के पास आपका पासवर्ड किसी अन्य साइट पर हैश है, वे आपके अन्य पासवर्ड को जल्द ही प्राप्त कर सकते हैं।

आप अपने पासवर्ड को कुछ अनुमानित करके हैशिंग बना सकते हैं, लेकिन अगर यह प्रथा बिल्कुल सामान्य हो जाती है या आप अपने हमलावर से व्यक्तिगत ध्यान प्राप्त कर रहे हैं, तो यह आपको नहीं बचाएगा। कुछ मायनों में, पासवर्ड की ताकत लोकप्रियता मध्यस्थता का विषय है।

tl; dr कुछ भी नियतात्मक नहीं करते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.