Pytanie:
Czy ponowne użycie hasła jest problemem, jeśli hasło jest bardzo silne?
chocolate
2015-09-29 12:15:07 UTC
view on stackexchange narkive permalink

Zawsze czytałem, że używanie tego samego hasła w wielu witrynach jest ryzykowne. Zastanawiam się, jaki jest prawdziwy powód?

W moim przypadku używam tego samego hasła w wielu witrynach wszędzie. Moje hasło jest jednak bardzo mocne, skomplikowane i długie, które zapisałem w pliku tekstowym, a następnie kopiowałem dla każdego połączenia na stronach, które subskrybuję. Czy ta metoda chroni mnie przed ryzykiem, ponieważ moje hasło jest zbyt skomplikowane i długie?

Używanie tego samego hasła na wielu stronach internetowych jest bardzo złą rzeczą. Jeśli jedna z tych witryn przechowuje hasła w postaci zwykłego tekstu, a baza danych haseł jest zagrożona, nie będzie miało żadnego znaczenia, czy Twoje hasło jest bardzo silne.
Plik tekstowy? Naprawdę? Skorzystaj z usługi portfela haseł, takiej jak LastPass (jest wiele innych, tylko przykład), używaj innego, bardzo złożonego hasła w każdej witrynie i chroń portfel złożonym, unikalnym hasłem, którego nie używasz do niczego innego.
@JPhi1618 Ponieważ nic nie jest tak bezpieczne, jak przechowywanie wszystkich haseł w usłudze strony trzeciej. Brzmi jak przeniesienie problemu zamiast jego naprawienia.
@Mast niektóre portfele haseł umożliwiają przechowywanie plików lokalnie w zaszyfrowanym pliku. Możesz skorzystać z usługi online, jeśli chcesz, aby Twoje hasła były dostępne na wielu urządzeniach lub urządzeniach mobilnych, ale istnieją rozwiązania dla wszystkich poziomów paranoi.
@mast lastpass umożliwia przechowywanie wszystkich haseł lokalnie i synchronizowanie ich między urządzeniami, bez uderzania w serwer. jest tak bezpieczny, jak to tylko możliwe. jeśli nie używasz menedżera haseł, robisz źle.
Obecnie dostępnych jest wiele menedżerów haseł / baz danych, nie ma powodu, aby ponownie używać tego samego hasła wszędzie, bez względu na to, jak bezpieczne * myślisz * jest to hasło. [KeePass] (http://keepass.info/) jest darmowy (i myślę, że może być open source), natomiast [1Password] (https://agilebits.com/onepassword/) jest popularnym zastrzeżonym menedżerem dla obu Windows i OS X (także iPhone'y).
Przypuszczam, że można by stworzyć kilka kont o niskiej wartości ekonomicznej z tym samym hasłem o wysokiej entropii w wielu znanych witrynach: Google, Stackoverflow, Yahoo, Ashley Madison, itp. Następnie systematycznie monitoruj każde konto. Jeśli wykryjesz nieautoryzowany login, oznacza to, że jeden z tych facetów przechował Twoje hasło w postaci zwykłego tekstu. Poza tym nie mogę wymyślić żadnego dobrego powodu, aby ponownie użyć hasła.
Warto wspomnieć o [Plain Text Offenders] (http://plaintextoffenders.com/) jako praktycznym dowodzie, że wiele witryn internetowych, z których możesz korzystać, przechowuje Twoje hasła w niewłaściwy sposób w postaci zwykłego tekstu. Jeśli korzystasz z takiej witryny i zostanie ona naruszona, Twoje złożone hasło zostanie nadal utracone.
Co masz na myśli mówiąc „silny”? Jeśli Twoje hasło jest „bardzo silne”, to nie, nie masz problemu. Im więcej osób ma Twoje hasło (im częściej go używasz), tym jest ono słabsze. Nie możesz mieć „bardzo silnego, często używanego ponownie” hasła !!
Najlepszym sposobem jest użycie pojedynczego logowania (jeśli jest dostępne). Loguję się na tej stronie przez Google, nie muszę mieć hasła.Posiadanie wielu haseł to już przeszłość.
Ponowne użycie hasła jest zawsze złym pomysłem, przyzwyczaja Cię do robienia czegoś, co Cię ugryzie.GoToMyPC, Carbonite, LogMeIn i in.w zeszłym tygodniu pokazują dlaczego jako jeden przykład, który można rozszerzyć gdzie indziej.
Dziewięć odpowiedzi:
user45139
2015-09-29 12:36:12 UTC
view on stackexchange narkive permalink

Ponowne użycie hasła jest złą praktyką w zakresie bezpieczeństwa z powodu prostego scenariusza ataku, takiego jak ten:

enter image description here
Źródło: XKCD

Przy ponownym użyciu długiego i skomplikowanego hasła nadal masz do czynienia z tymi samymi zagrożeniami, które zostały przedstawione w powyższym schemacie.

Oprócz tego zapisywanie hasła w pliku tekstowym jest niebezpieczną praktyką, ponieważ prywatność hasła zależy również od bezpieczeństwa komputera (pomyśl o złośliwych wtyczkach do przeglądarek, które możesz zainstalować, ataki drive-by download instalujące oprogramowanie szpiegowskie na komputerze ...) i sieci. Możesz również rozważyć inne scenariusze, takie jak ataki phishingowe, w których siła hasła nie odgrywa roli.

Prywatność hasła * zawsze * zależy od bezpieczeństwa komputera. W końcu to jest to, w co wpisujesz swoje hasło.
Muszę się nie zgodzić, @Alpha3031 to nie zawsze zależy, ale jest to czynnik, wirusy, keylogs, trogeny bla bla ... wszystko w systemie użytkowników, ale komentarz Begueradj jest bliżej sedna. ciągłe używanie hasła ogranicza jego użycie. klucz, który otwiera każdy zamek, jest kluczem niebezpiecznym do zgubienia, a im częściej go używasz, tym większa jest szansa, że ​​ktoś go zgubi.
Rozumiem, że ponowne użycie hasła jest problemem, niezależnie od siły hasła, ale jak to się ma do komiksu, gdy hasło nie jest czymś, czego haker po prostu by nie odgadł?
Kogo obchodzi, co powie Konfucjusz ... to wszystko o tym, co powie XKCD.
@Panzercrisis Co masz na myśli? Nigdzie w tym komiksie Black Hat nie zgaduje na ślepo haseł użytkowników.
@Ajedi32 Pomyślałem, że oznacza to, że skompilował listy „normalnych” adresów e-mail, nazw użytkowników i haseł i użyłby botów, aby po prostu je przeskakiwać.
@Panzercrisis Sporządził listę e-maili, nazw użytkowników i haseł, prosząc użytkowników o podanie tych informacji podczas rejestracji w jego „bezpłatnej” usłudze. Nie musisz tam niczego zgadywać, z wyjątkiem innych usług, w których użytkownicy mogą używać tej kombinacji nazwy użytkownika i hasła.
Zagrożenie dla bezpieczeństwa nie jest zagrożeniem, dopóki Randall nie zrobi o nim komiksu.
Złośliwa witryna, taka jak powyższa, to tylko jeden ze sposobów na złamanie hasła. Bardziej powszechna byłaby strona, która nie przechowuje poprawnie hasła z powodu ignorancji, niekompetencji, lenistwa lub wszystkich powyższych. Na przykład każda witryna, która odpowiada na prośbę o zapomnienie hasła, przesyłając Ci hasło e-mailem, z definicji przechowuje je w niewłaściwy sposób.
@Ajedi32 Och, teraz rozumiem. Dzięki.
@stannius To zdumiewające, jak wiele usług nadal przechowuje hasła z niezabezpieczonymi skrótami lub nawet ZWYKŁYM TEKSTEM (!?) (Przykłady obejmują 000webhost, prawdopodobnie najpopularniejszy darmowy dostawca hostingu, Neopets, przynajmniej w przeszłości itp.)
@Brandon Anzaldi zdumiewające, nie mówiąc o przerażającym
@RobinKanters Ale niestety najwyraźniej nadal nie jest nielegalne. Myślę, że powinny istnieć prawa przeciwko temu.
@StijndeWitt Czy naprawdę spodziewasz się, że rząd faktycznie egzekwuje coś, co utrudniłoby konfigurowanie narzędzi masowego nadzoru?
Prawdopodobnie byłbyś bezpieczniejszy z innym * mniej bezpiecznym * hasłem dla każdej witryny niż jedno * silne * hasło do wszystkich witryn. Brak zanieczyszczeń krzyżowych.
jhash
2015-09-29 12:35:18 UTC
view on stackexchange narkive permalink

Za każdym razem, gdy rejestrujesz się i zezwalasz zewnętrznemu systemowi na przechowywanie hasła, jesteś zależny od nowego systemu, aby upewnić się, że Twoje hasło jest odpowiednio zabezpieczone. Oznacza to, że jeśli jeden z systemów zewnętrznych nie zabezpiecza Twojego hasła (np. Przechowuje hasło w postaci zwykłego tekstu i ma lukę w zabezpieczeniach SQL injection), niezależnie od Twojego nawyku bezpieczeństwa hasła (np. Używanie bardzo dużego hasła, przechowywanie go w menedżerze haseł ), Twoje wspólne hasło zostanie ujawnione w przypadku złamania zabezpieczeń systemu zewnętrznego. Po przejęciu inni mogą użyć hasła, aby spróbować zalogować się do innych potencjalnych witryn i odniesie sukces, jeśli będziesz mieć to samo hasło.

Hecksa
2015-09-29 14:22:51 UTC
view on stackexchange narkive permalink

Posiadanie silnego hasła nie chroni przed lukami w zabezpieczeniach związanych z ponownym używaniem haseł.

Więc masz silne hasło, którego używasz do rejestracji w większości usługi internetowe, z których korzystasz. Świetny! Jesteś teraz prawdopodobnie bezpieczny przed osobami, które próbują zalogować się na Twoje konkretne konto, odgadując każde możliwe hasło, które możesz mieć i mając nadzieję, że jedno z nich jest poprawne („brutalny siła „atak”).

Załóżmy, że trafiłeś na moją nową witrynę, która oferuje wspaniały biuletyn, który naprawdę Cię interesuje. Podejmujesz decyzję o zapisaniu się do tej witryny. Wpisz swój adres e-mail i swoje zwykłe silne hasło.

Niestety, nie byłem do końca szczery i chociaż skonfiguruję dla Ciebie subskrypcję biuletynu, wysyłam również adres e-mail i hasło, które właśnie wpisałeś, na mój osobisty adres e-mail. Gdy to dotrze do mojej skrzynki odbiorczej, mogę wypróbować kombinację na Facebooku, Gmailu, Yahoo Mail, Twitterze itp. Wcześniej czy później mam zamiar dostać się na jedno z Twoich kont.

Alternatywnie, załóżmy Byłem szczery i nie chciałem ukraść twojego konta, ale po prostu nie radziłem sobie z bezpieczeństwem. Być może przechowywałem twoje hasło w bazie danych w postaci zwykłego tekstu i nie miałem nic na miejscu, aby powstrzymać atakującego przed dostaniem się do niego. Tak więc pewnego dnia pojawia się paskudna osoba, która znajduje sposób na skopiowanie zawartości bazy danych i nagle ma również Twój adres e-mail i hasło! Ups.

Wybierając hasło do dowolnej witryny internetowej lub usługi, zawsze najlepiej jest założyć, że może ono w pewnym momencie zostać odczytane przez kogoś.

Musisz tylko upewnić się, że jeśli tak się stanie, ujawnione informacje nie pozwolą nikomu na dostęp do żadnego z Twoich innych kont.

„nie chroni przed lukami w zabezpieczeniach” - cóż, chroni przed * jedną * luką w zabezpieczeniach związaną z ponownym użyciem haseł, co oznacza, że ​​jeśli atakujący zgubi dobrze zaszyfrowany plik haseł, a hasło jest * słaby *, osoba atakująca otrzyma hasło do wszystkiego. Być może pytający popełnił powszechny błąd polegający na przyjęciu środka bezpieczeństwa i modelu pojedynczego zagrożenia, zauważając, że środek ten nie jest konieczny do unieważnienia tego konkretnego zagrożenia i doszedł do wniosku, że środek bezpieczeństwa nie jest konieczny.
@SteveJessop Jeśli hasło jest wystarczająco silne, sól nie będzie miała znaczenia. Dopóki hash jest MD5 lub silniejszy, nadal można zapewnić bezpieczeństwo, o ile hasło jest wystarczająco silne. Zagrożeniem będzie ta jedna spośród wszystkich witryn, z których korzystasz, na której niezabezpieczone jest przechowywane hasło.
@kasperd: Sól ma znaczenie. Jeśli twoje hasło wymaga miliarda prób odgadnięcia, a mam milion niesolonych haseł, zrobię miliard prób, ponieważ w ten sposób otrzymam Twoje hasło i każde hasło o jednakowej sile. Jeśli hasło zostanie odrzucone, nie zgadnę miliarda prób, ponieważ te odpowiedzi dają mi tylko _jedne_ hasło. Potrzebuję 10 ^ 15 prób, aby złamać twoje hasło i każde hasło o jednakowej sile.
Teraz, jeśli napastnik szuka tylko mojego hasła i nie dba o pozostałe miliony zaszyfrowanych haseł, to sól nie robi różnicy. Ale to bardzo mało prawdopodobne. A jeśli napastnik szuka hasła jednego z pozostałych milionów użytkowników i dba tylko o to hasło, bez soli jestem pewien, że nie wyrzuci innych złamanych haseł (w tym twojego).
@gnasher729 Powiedziałem ** Jeśli hasło jest wystarczająco silne ** i sugerujesz, że można je odgadnąć w 10¹² próbach. Gdyby odgadnąć hasło wystarczyło 10¹² prób, oznacza to, że nie jest ono wystarczająco silne. Nigdy nie nazwałbym hasła bardzo silnym, gdyby miało mniej niż 128 bitów entropii. Z tą siłą mówimy o 10³⁸ próbach.
timuzhti
2015-09-29 12:32:14 UTC
view on stackexchange narkive permalink

Ponowne użycie haseł zwiększa powierzchnię ataku, umożliwiając atakującemu przejęcie wszystkich Twoich kont za pomocą jednego ataku. Można to osiągnąć za pomocą MITM (który wymagałby sfałszowanego certyfikatu dla witryn TLS), uzyskania hasła z bazy danych (która wymaga dostępu i jest również prawie niemożliwe przy użyciu bezpiecznego skrótu + soli), lub złośliwego witryna, przy czym ostatnia opcja jest najłatwiejsza.

Twoje hasło jest teraz tak bezpieczne, jak najsłabsza witryna, a wiele witryn korzysta z przestarzałych protokołów bezpieczeństwa. Entropia hasła Cię nie ochroni, ponieważ istnieją znacznie niższe metody zdobywania hasła.

amortyzowane -> przestarzałe
Steve Sether
2015-09-29 23:48:20 UTC
view on stackexchange narkive permalink

Zachęcałbym wszystkich do zabezpieczania swoich haseł tak bardzo, jak im zależy na bezpieczeństwie. Nie możesz wiedzieć, czy bezpieczeństwo witryny jest dobre, czy nie, a zatem Twoje hasło może zostać złamane. Załóżmy, że bezpieczeństwo witryny jest złe, a Twoje hasło może być jutro znane milionom ludzi.

To oznacza:

Używaj ponownie haseł tylko w witrynach jednorazowych, które zmuszają Cię do zarejestrowania hasła że nie obchodzi cię, gdyby ktoś się włamał. Dobrym przykładem może być strona adobe.com, która zmusza Cię do rejestracji, ale poza tym jest kontem bezużytecznym.

Nigdy nie używaj ponownie haseł do podstawowego konta e-mail, ponieważ dostęp do podstawowego adresu e-mail może posłużyć do zresetowania hasło na innych stronach. Jeśli to możliwe, włącz uwierzytelnianie dwuskładnikowe.

Nigdy nie używaj ponownie hasła do niczego, co mogłoby spowodować utratę pieniędzy. Banki, paypal i witryny inwestycyjne są łatwymi celami do kradzieży. Niestety, większość z tych witryn nie oferuje uwierzytelniania dwuskładnikowego, więc ponowne użycie hasła może łatwo kosztować Cię kradzież.

Cóż, nie wiem jak jest w Twoim kraju, ale w Wielkiej Brytanii uwierzytelnianie dwuskładnikowe dla bankowości internetowej jest normą. Musisz także wprowadzić nie tylko hasło zdefiniowane przez użytkownika, ale także hasło zdefiniowane przez bank. Ponowne użycie hasła nie jest tak naprawdę problemem w przypadku kont bankowych.
@LightnessRacesinOrbit Niestety większość amerykańskich banków nie oferuje 2FA (większość używa „pytań bezpieczeństwa”)
@Machavity: Grief :( Tak mi przykro. To tyle, jeśli chodzi o bycie „Nowym Światem”, co?;)
Rob Moir
2015-10-01 14:25:15 UTC
view on stackexchange narkive permalink

Ponowne użycie tego samego hasła nie oznacza, że ​​loginy do witryny i chronione przez nie dane są tak samo bezpieczne, jak Twoje (miejmy nadzieję, że bardzo bezpieczne) hasło. Zamiast tego oznacza to, że Twoje loginy i dane są zamiast tego tak samo bezpieczne, jak witryna z najsłabszym zabezpieczeniem na Twojej liście witryn.

Jeśli ktoś włamie się / wykradnie, nie nie wiem, baza danych użytkowników Adobe, LinkedIn lub Ashley Madison (nie sugeruj, że masz konto tam, oczywiście), wtedy będą mieli adres e-mail / nazwę użytkownika i hasło wszystkich w tej witrynie, którzy korzystają z systemu takiego jak Twój.

Czy naprawdę uważasz, że jest to poza rozumem ludzi na tyle inteligentnych, by to zrobić, aby być również na tyle sprytnym, aby napisać zautomatyzowany proces, aby wypróbować te złamane nazwy użytkownika i hasła na innych popularnych witrynach?

Nie to, że nie zgadzam się z Twoim ogólnym punktem widzenia, ale hasła do wspomnianych przez Ciebie witryn zostały zaszyfrowane. Zgodnie z założeniem OP używamy „bardzo silnego” hasła, więc nie można go odzyskać z hasha. Oczywiście zawsze istnieje możliwość, że witryna, która nie przechowuje haseł w postaci zaszyfrowanej, zostanie naruszona.
@volker masz rację, ale wspomniałem o wszystkich 3 witrynach, ponieważ dane haseł z tych witryn zostały złamane. Haszowanie to próg zwalniający (często dlatego, że jest źle wykonany), a nie ściana.
W rzeczywistości Twoje zabezpieczenia są słabsze niż najsłabsze zabezpieczenia na liście witryn. Co ma powstrzymać hakera przed otwarciem własnej witryny wyłącznie w celu zbierania haseł. Jeśli uda im się przekonać Cię do zarejestrowania się na ich stronie (darmowe porno, zdjęcia kotów itp.), Mają klucze do wszystkich Twoich witryn.
@emory absolutnie. Nie powinienem być wcale zdziwiony, słysząc, że dzieje się to o wiele bardziej, niż przypuszczamy.
@Volker Nieco się z tym nie zgadzam. Istnieje kilka rozwiązań brutalnego wymuszania haszyszu. Niektóre z nich są generowane losowo, a nie tylko słownik. Jeśli ktoś chciał odzyskać hasło z haszu, wymyślił sól, procedurę haszowania i jest skłonny brutalnie to wymusić, wtedy istnieje możliwość odzyskania go z hasha. Tam, gdzie w pewnym stopniu zgadzam się z silnym hasłem, może to zająć dni, miesiące, lata lub dziesięciolecia i prawdopodobnie nie miałoby to miejsca, gdybyś nie miał bardzo cierpliwego napastnika.
@Brad Metcalf: Myślę, że wszystko zależy od tego, co dokładnie rozumiesz przez „bardzo silne hasło”. Jeśli odpowiednia przestrzeń na hasło ma 2 ^ 128 możliwości (> 18 znaków ASCII), złamanie skrótu MD5 zajęłoby średnio 10 ^ 18 lat, jeśli można sprawdzić bilion kandydatów na hasła na sekundę. To sto milionów razy więcej niż wiek wszechświata. Czy istnieje możliwość odzyskania hasła przed wybuchem słońca? Tak, ale jest pomijalnie mały.
RyanTCB
2015-09-29 23:31:21 UTC
view on stackexchange narkive permalink

Siła hasła sprowadza się do bezpieczeństwa witryny, w której je używasz. Wystarczy jedna witryna, aby jej nie chronić, a wszystkie pozostałe zostaną ujawnione. Podstawy, takie jak haszowanie haseł za pomocą soli, powinny być minimum dla każdej witryny, która prosi o podanie hasła. Jeśli przechowują to w postaci zwykłego tekstu, ujawniają również wszystkie inne witryny, z których korzystasz. Jeśli witryna wyśle ​​Ci wiadomość e-mail z hasłem, jeśli go zapomniałeś i nie ma możliwości zresetowania, to zapisała Twoje hasło jako zwykły tekst i powinieneś zmienić wszystkie konta, które korzystały z tego hasła.

JonnyWizz
2015-10-30 21:18:08 UTC
view on stackexchange narkive permalink

Jeśli naprawdę chcesz używać tego samego hasła do wszystkich witryn internetowych, dlaczego nie skorzystać z menedżera haseł? W ten sposób musisz zapamiętać tylko jedno hasło (dla swojego menedżera haseł), a także masz unikalne silne hasło dla każdej witryny. Jeśli ktoś włamie się do witryn, z których korzystasz, tylko to hasło zostanie naruszone, a nie wszystkie Twoje loginy.

Tk55891
2018-08-09 21:25:43 UTC
view on stackexchange narkive permalink

Myślę, że dobrze jest mieć silne hasło, które jest tak długie, jak to możliwe i unikać słów, aby zapobiec atakom siłowym, które wykorzystują słowa ze słownika do odgadywania losowych haseł, np. thunderbolt25815 .

Ale niektóre strony temu zapobiegają, ustawiając limit hasła. Jeśli wprowadzisz nieprawidłowe hasło zbyt wiele razy, zostaniesz zablokowany lub zablokowany na koncie, aby uniemożliwić logowanie z dowolnego miejsca.

Jednak niektóre witryny tego nie robią, a niektóre mają słabe zabezpieczenia. Jeśli ktoś włamie się do bazy danych w postaci zwykłego tekstu bez szyfrowania, wszystkie hasła do Twojej witryny są bezużyteczne. Będą po prostu umieszczać hasła w różnych witrynach, aż uzyskają właściwą witrynę. W niektórych najgorszych przypadkach mogą uzyskać dostęp do czegoś, co ma Twoją kartę kredytową, np. Amazon, co może kosztować Cię dużo pieniędzy. Chcesz tego? Czy chcesz poświęcić bezpieczeństwo na rzecz łatwych do zapamiętania haseł? Jeśli „nie”, uzyskaj długie hasło, które jest różne dla każdej witryny, i spróbuj włączyć weryfikację dwuetapową, aby nikt nie mógł uzyskać dostępu do jednej witryny tylko przez zhakowanie jednej witryny. Będą potrzebować czegoś więcej niż tylko hasła.

Pierwsza część nie odpowiada na pytanie.Druga część nie ma związku z pytaniem, a ostatnia część powtarza to, co powiedział każdy inny.Upewnij się, że Twoje odpowiedzi mają właściwą strukturę zdań, są na temat i powiedz coś wyjątkowego spośród innych odpowiedzi.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...