यदि मेरे पासवर्डों में से एक समझौता किया गया है तो क्या मेरे अन्य पासवर्ड भी कंप्रोमाइज़ किए गए हैं?
यदि आपके किसी पासवर्ड से छेड़छाड़ की जाती है, तो क्या इसका मतलब यह है कि आपके अन्य पासवर्डों से भी समझौता किया जाता है? जबकि खेलने में काफी कुछ चर हैं, सवाल यह है कि एक पासवर्ड को कमजोर करने और आप अपनी रक्षा के लिए क्या कर सकते हैं पर एक दिलचस्प नज़र है.
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों की एक सामुदायिक-ड्राइव ग्रुपिंग।.
प्रश्न
सुपरयूज़र रीडर माइकल मैकगोवन जिज्ञासु हैं कि सिंगल पासवर्ड ब्रीच के प्रभाव तक कितनी दूर तक पहुंचा जा सकता है; वह लिखता है:
मान लीजिए कि कोई उपयोगकर्ता साइट A पर एक सुरक्षित पासवर्ड और साइट B पर एक अलग लेकिन समान सुरक्षित पासवर्ड का उपयोग करता है
mySecure12 # PasswordA
साइट पर ए औरmySecure12 # PasswordB
साइट बी पर ("समानता" की एक अलग परिभाषा का उपयोग करने के लिए स्वतंत्र महसूस करें यदि यह समझ में आता है).मान लीजिए कि साइट ए के लिए पासवर्ड किसी तरह समझौता किया गया है ... शायद साइट ए का दुर्भावनापूर्ण कर्मचारी या सुरक्षा रिसाव। क्या इसका मतलब यह है कि साइट बी के पासवर्ड को प्रभावी ढंग से समझौता किया गया है, या इस संदर्भ में "पासवर्ड समानता" जैसी कोई चीज नहीं है? क्या इससे कोई फर्क पड़ता है कि साइट ए पर समझौता एक सादा पाठ लीक या एक हैशेड संस्करण था?
माइकल को चिंता करनी चाहिए कि क्या उसकी काल्पनिक स्थिति गुजरती है?
उत्तर
सुपरयूजर योगदानकर्ताओं ने माइकल के लिए इस मुद्दे को स्पष्ट करने में मदद की। सुपरसुअर योगदानकर्ता कुएसो लिखते हैं:
पहले अंतिम भाग का उत्तर देने के लिए: हां, यह स्पष्ट होगा कि यदि डेटा का खुलासा किया गया तो स्पष्ट बनाम हैशेड। एक हैश में, यदि आप किसी एकल वर्ण को बदलते हैं, तो पूरा हैश पूरी तरह से अलग होता है। जिस तरह से एक हमलावर को पता होता है कि पासवर्ड हैश को बल देने के लिए है (असंभव नहीं है, खासकर अगर हैश अनसाल्टेड है। इंद्रधनुष सारणी देखें)।.
जहाँ तक समानता का सवाल है, यह इस बात पर निर्भर करेगा कि हमलावर आपके बारे में क्या जानता है। अगर मुझे साइट A पर आपका पासवर्ड मिलता है और अगर मुझे पता है कि आप उपयोगकर्ता नाम या इस तरह के बनाने के लिए कुछ पैटर्न का उपयोग करते हैं, तो मैं आपके द्वारा उपयोग की जाने वाली साइटों पर पासवर्ड पर उन्हीं सम्मेलनों की कोशिश कर सकता हूं.
वैकल्पिक रूप से, आपके द्वारा दिए गए पासवर्ड में, यदि मैं एक हमलावर के रूप में एक स्पष्ट पैटर्न देखता हूं, जिसका उपयोग मैं पासवर्ड के साइट-विशिष्ट हिस्से को जेनेरिक पासवर्ड भाग से अलग करने के लिए कर सकता हूं, तो मैं निश्चित रूप से कस्टम पासवर्ड हमले के उस हिस्से को अनुरूप बनाऊंगा आप को.
उदाहरण के लिए, मान लें कि आपके पास 58htg% HF! C जैसे सुपर सिक्योर पासवर्ड हैं। अलग-अलग साइटों पर इस पासवर्ड का उपयोग करने के लिए, आप शुरुआत में एक साइट-विशिष्ट आइटम जोड़ते हैं, ताकि आपके पास पासवर्ड हों: facebook58g% HF! C, wellsfargo58htg% HF! C, या gmail58htg% HF-c, अगर आप I अपने फेसबुक को हैक करें और facebook58htg% HF प्राप्त करें! c मैं उस पैटर्न को देखने जा रहा हूं और अन्य साइटों पर इसका उपयोग करता हूं, मुझे लगता है कि आप उपयोग कर सकते हैं.
यह सब पैटर्न के लिए नीचे आता है। क्या हमलावर साइट-विशिष्ट भाग और आपके पासवर्ड के सामान्य भाग में एक पैटर्न देखेगा?
एक अन्य सुपरयूजर योगदानकर्ता, माइकल ट्रैश, बताते हैं कि ज्यादातर स्थितियों में काल्पनिक स्थिति चिंता का कारण नहीं है:
पहले अंतिम भाग का उत्तर देने के लिए: हां, यह स्पष्ट होगा कि यदि डेटा का खुलासा किया गया तो स्पष्ट बनाम हैशेड। एक हैश में, यदि आप किसी एकल वर्ण को बदलते हैं, तो पूरा हैश पूरी तरह से अलग होता है। जिस तरह से एक हमलावर को पता होता है कि पासवर्ड हैश को बल देने के लिए है (असंभव नहीं है, खासकर अगर हैश अनसाल्टेड है। इंद्रधनुष सारणी देखें)।.
जहाँ तक समानता का सवाल है, यह इस बात पर निर्भर करेगा कि हमलावर आपके बारे में क्या जानता है। अगर मुझे साइट A पर आपका पासवर्ड मिलता है और अगर मुझे पता है कि आप उपयोगकर्ता नाम या इस तरह के बनाने के लिए कुछ पैटर्न का उपयोग करते हैं, तो मैं आपके द्वारा उपयोग की जाने वाली साइटों पर पासवर्ड पर उन्हीं सम्मेलनों की कोशिश कर सकता हूं.
वैकल्पिक रूप से, आपके द्वारा दिए गए पासवर्ड में, यदि मैं एक हमलावर के रूप में एक स्पष्ट पैटर्न देखता हूं, जिसका उपयोग मैं पासवर्ड के साइट-विशिष्ट हिस्से को जेनेरिक पासवर्ड भाग से अलग करने के लिए कर सकता हूं, तो मैं निश्चित रूप से कस्टम पासवर्ड हमले के उस हिस्से को अनुरूप बनाऊंगा आप को.
उदाहरण के लिए, मान लें कि आपके पास 58htg% HF! C जैसे सुपर सिक्योर पासवर्ड हैं। अलग-अलग साइटों पर इस पासवर्ड का उपयोग करने के लिए, आप शुरुआत में एक साइट-विशिष्ट आइटम जोड़ते हैं, ताकि आपके पास पासवर्ड हों: facebook58g% HF! C, wellsfargo58htg% HF! C, या gmail58htg% HF-c, अगर आप I अपने फेसबुक को हैक करें और facebook58htg% HF प्राप्त करें! c मैं उस पैटर्न को देखने जा रहा हूं और अन्य साइटों पर इसका उपयोग करता हूं, मुझे लगता है कि आप उपयोग कर सकते हैं.
यह सब पैटर्न के लिए नीचे आता है। क्या हमलावर साइट-विशिष्ट भाग और आपके पासवर्ड के सामान्य भाग में एक पैटर्न देखेगा?
यदि आप चिंतित हैं कि आप वर्तमान पासवर्ड सूची विविध और यादृच्छिक रूप से पर्याप्त नहीं हैं, तो हम अत्यधिक हमारे व्यापक पासवर्ड सुरक्षा गाइड की जाँच करने की सलाह देते हैं: आपका ईमेल पासवर्ड के बाद पुनर्प्राप्त कैसे किया जाए। अपनी पासवर्ड सूचियों को फिर से काम करने के रूप में यदि सभी पासवर्डों की माँ, आपके ईमेल पासवर्ड से समझौता किया गया है, तो गति के लिए अपने पासवर्ड पोर्टफोलियो को जल्दी लाना आसान है।.
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.