Si una de mis contraseñas está comprometida, ¿mis otras contraseñas también están comprometidas?
Si una de sus contraseñas está comprometida, ¿eso significa automáticamente que sus otras contraseñas también están comprometidas? Si bien hay bastantes variables en juego, la pregunta es una mirada interesante sobre qué hace que una contraseña sea vulnerable y qué puede hacer para protegerse..
La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación impulsada por la comunidad de sitios web de preguntas y respuestas.
La pregunta
Michael McGowan, lector de superusuarios, siente curiosidad por el alcance del impacto de una única violación de la contraseña; el escribe:
Supongamos que un usuario utiliza una contraseña segura en el sitio A y una contraseña segura diferente pero similar en el sitio B. Tal vez algo como
mySecure12 # PasswordA
en el sitio A ymySecure12 # PasswordB
en el sitio B (no dude en utilizar una definición diferente de "similitud" si tiene sentido).Supongamos entonces que la contraseña para el sitio A está de alguna manera comprometida ... tal vez un empleado malicioso del sitio A o una fuga de seguridad. ¿Significa esto que la contraseña del sitio B también se ha comprometido efectivamente, o no existe tal cosa como "similitud de contraseña" en este contexto? ¿Hay alguna diferencia si el compromiso en el sitio A fue una fuga de texto sin formato o una versión con hash??
¿Debería Michael preocuparse si su hipotética situación llega a pasar??
La respuesta
Los colaboradores de SuperUser ayudaron a aclarar el problema para Michael. El contribuyente del superusuario Queso escribe:
Para responder primero a la última parte: Sí, sería una diferencia si los datos divulgados fueran de texto simple frente a hash. En un hash, si cambias un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante podría saber la contraseña es forzar bruscamente el hash (no es imposible, especialmente si el hash no tiene sal. Consulta las tablas de arco iris).
En cuanto a la pregunta de similitud, dependerá de lo que el atacante sepa sobre usted. Si obtengo su contraseña en el sitio A y si sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que proporcionó anteriormente, si yo, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré que esa parte de un ataque de contraseña personalizada sea personalizada. para ti.
Como ejemplo, supongamos que tiene una contraseña super segura como 58htg% HF! C. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si hackee su facebook y obtenga facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentre que puede usar.
Todo se reduce a patrones. ¿Verá el atacante un patrón en la parte específica del sitio y la parte genérica de su contraseña??
Otro contribuyente de superusuario, Michael Trausch, explica cómo, en la mayoría de las situaciones, la situación hipotética no es motivo de preocupación:
Para responder primero a la última parte: Sí, sería una diferencia si los datos divulgados fueran de texto simple frente a hash. En un hash, si cambias un solo carácter, todo el hash es completamente diferente. La única forma en que un atacante podría saber la contraseña es forzar bruscamente el hash (no es imposible, especialmente si el hash no tiene sal. Consulta las tablas de arco iris).
En cuanto a la pregunta de similitud, dependerá de lo que el atacante sepa sobre usted. Si obtengo su contraseña en el sitio A y si sé que usa ciertos patrones para crear nombres de usuario o similares, puedo probar esas mismas convenciones sobre contraseñas en los sitios que usa.
Alternativamente, en las contraseñas que proporcionó anteriormente, si yo, como atacante, veo un patrón obvio que puedo usar para separar una parte de la contraseña específica del sitio de la parte de la contraseña genérica, definitivamente haré que esa parte de un ataque de contraseña personalizada sea personalizada. para ti.
Como ejemplo, supongamos que tiene una contraseña super segura como 58htg% HF! C. Para usar esta contraseña en diferentes sitios, agregue un elemento específico del sitio al principio, de modo que tenga contraseñas como: facebook58htg% HF! C, wellsfargo58htg% HF! C, o gmail58htg% HF! C, puede apostar si hackee su facebook y obtenga facebook58htg% HF! c Voy a ver ese patrón y lo usaré en otros sitios que encuentre que puede usar.
Todo se reduce a patrones. ¿Verá el atacante un patrón en la parte específica del sitio y la parte genérica de su contraseña??
Si le preocupa que su lista de contraseñas actual no sea lo suficientemente diversa y aleatoria, le recomendamos que consulte nuestra guía de seguridad de contraseñas completa: Cómo recuperarse después de que su contraseña de correo electrónico esté comprometida. Al volver a trabajar sus listas de contraseñas como si la madre de todas las contraseñas, su contraseña de correo electrónico, se haya comprometido, es fácil actualizar su cartera de contraseñas rápidamente.
¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.