Si l'un de mes mots de passe est compromis, mes autres mots de passe sont-ils également compromis?
Si l'un de vos mots de passe est compromis, cela signifie-t-il automatiquement que vos autres mots de passe le sont également? Bien qu'il y ait pas mal de variables en jeu, la question est de savoir ce qui rend un mot de passe vulnérable et ce que vous pouvez faire pour vous protéger..
La session de questions et réponses d'aujourd'hui nous parvient avec la permission de SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté..
La question
Le lecteur SuperUser, Michael McGowan, est curieux de voir l’impact d’une violation de mot de passe unique. il écrit:
Supposons qu'un utilisateur utilise un mot de passe sécurisé sur le site A et un mot de passe sécurisé différent mais similaire sur le site B.
mySecure12 # PasswordA
sur le site A etmySecure12 # PasswordB
sur le site B (n'hésitez pas à utiliser une définition différente de «similarité» si cela a du sens).Supposons alors que le mot de passe du site A soit en quelque sorte compromis… peut-être un employé malveillant du site A ou une faille de sécurité. Cela signifie-t-il que le mot de passe du site B a également été compromis, ou existe-t-il une «similarité de mot de passe» dans ce contexte? Est-il important que le compromis sur le site A soit une fuite de texte brut ou une version hachée?
Michael devrait-il s'inquiéter si sa situation hypothétique se concrétise??
La réponse
Les contributeurs SuperUser ont aidé à résoudre le problème pour Michael. Le contributeur superutilisateur Queso écrit:
Pour répondre à la dernière partie en premier: Oui, le fait que les données divulguées soient en clair et en haché ferait une différence. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. Le seul moyen pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, cela dépend de ce que l'attaquant sait à votre sujet. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur, vous pouvez essayer les mêmes conventions sur les mots de passe des sites que vous utilisez..
Sinon, dans les mots de passe que vous avez indiqués ci-dessus, si, en tant qu'attaquant, je vois un motif évident que je peux utiliser pour séparer une partie du mot de passe spécifique au site de la partie du mot de passe générique, je vais certainement adapter cette partie d'une attaque par mot de passe personnalisée. à toi.
Par exemple, supposons que vous ayez un mot de passe super sécurisé comme 58htg% HF! C. Pour utiliser ce mot de passe sur différents sites, vous devez ajouter un élément spécifique au site, afin que vous disposiez de mots de passe du type: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C. Vous pouvez parier que si pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites je constate que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif se retrouver dans la partie spécifique au site et dans la partie générique de votre mot de passe??
Un autre contributeur au superutilisateur, Michael Trausch, explique comment, dans la plupart des situations, la situation hypothétique n’est pas très préoccupante:
Pour répondre à la dernière partie en premier: Oui, le fait que les données divulguées soient en clair et en haché ferait une différence. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. Le seul moyen pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir les tableaux arc-en-ciel).
En ce qui concerne la question de similarité, cela dépend de ce que l'attaquant sait à votre sujet. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur, vous pouvez essayer les mêmes conventions sur les mots de passe des sites que vous utilisez..
Sinon, dans les mots de passe que vous avez indiqués ci-dessus, si, en tant qu'attaquant, je vois un motif évident que je peux utiliser pour séparer une partie du mot de passe spécifique au site de la partie du mot de passe générique, je vais certainement adapter cette partie d'une attaque par mot de passe personnalisée. à toi.
Par exemple, supposons que vous ayez un mot de passe super sécurisé comme 58htg% HF! C. Pour utiliser ce mot de passe sur différents sites, vous devez ajouter un élément spécifique au site, afin que vous disposiez de mots de passe du type: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C. Vous pouvez parier que si pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites je constate que vous pouvez utiliser.
Tout se résume à des modèles. L'attaquant verra-t-il un motif se retrouver dans la partie spécifique au site et dans la partie générique de votre mot de passe??
Si vous pensez que votre liste de mots de passe actuelle n'est pas assez diversifiée et aléatoire, nous vous recommandons vivement de consulter notre guide complet sur la sécurité des mots de passe: Comment récupérer votre mot de passe par courrier électronique? En retravaillant vos listes de mots de passe comme si la mère de tous les mots de passe, votre mot de passe de messagerie, avait été compromise, il est facile de rapidement mettre à jour votre portefeuille de mots de passe..
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.