사용자가 사이트 A에서 보안 암호 및 아마 같은 사이트 B.에서 다르지만 유사한 보안 암호를 사용한다고 가정 mySecure12#PasswordA사이트 A의 및 mySecure12#PasswordB사이트 B에 (이것은 의미가있는 경우 "유사성"의 다른 정의를 사용 주시기를).
그런 다음 사이트 A의 암호가 어떻게 든 손상되었다고 가정합니다. 사이트 A의 악의적 인 직원이거나 보안 누출 일 수 있습니다. 이는 사이트 B의 비밀번호도 효과적으로 손상되었거나이 컨텍스트에서 "비밀번호 유사성"이 없다는 것을 의미합니까? 사이트 A의 손상이 일반 텍스트 유출인지 아니면 해시 버전인지에 차이가 있습니까?
답변:
마지막 부분에 먼저 대답하려면 : 예, 공개 된 데이터가 일반 텍스트와 해시 인 경우 차이가 있습니다. 해시에서 단일 문자를 변경하면 전체 해시가 완전히 다릅니다. 공격자가 암호를 알고있는 유일한 방법은 해시를 무차별 처리하는 것입니다 (특히 해시가 무염 인 경우 불가능하지는 않습니다. 레인보우 테이블 참조 ).
유사성 질문에 대해서는 공격자가 알고있는 내용에 따라 다릅니다. 사이트 A에서 비밀번호를 받고 사용자 이름 등을 만들기 위해 특정 패턴을 사용하는 것을 알고 있다면 사용하는 사이트의 비밀번호에서도 동일한 규칙을 시도 할 수 있습니다.
또는 위에서 제공 한 비밀번호에서 공격자로서 비밀번호의 사이트 별 부분을 일반 비밀번호 부분과 분리하는 데 사용할 수있는 명백한 패턴을 볼 경우 사용자 지정 비밀번호 공격의 해당 부분을 맞춤 구성합니다. 당신에게.
예를 들어 58htg % HF! c와 같은 매우 안전한 암호가 있다고 가정 해보십시오. 다른 사이트에서이 비밀번호를 사용하려면 사이트 고유 항목을 시작 부분에 추가하여 facebook58htg % HF! c, wellsfargo58htg % HF! c 또는 gmail58htg % HF! c와 같은 비밀번호를 갖습니다. 당신의 페이스 북을 해킹하고 페이스 북을 얻으십시오.
그것은 모두 패턴으로 귀결됩니다. 침입자는 사이트의 특정 부분과 비밀번호의 일반적인 부분에 패턴을 볼 수 있습니까?
그것은 실제로 당신이 얻는 것에 달려 있습니다!
암호가 다른 암호와 비슷한 지 여부를 결정하는 방법에는 여러 가지가 있습니다. 예를 들어, 비밀번호 카드 를 사용하고 다른 사람이 같은 것을 가지고 있다고 가정 해 봅시다 (또는 자신이 가지고있는 것을 단순히 알고 있음). 암호 중 하나가 손상되어 암호 카드가 한 줄 아래에 있음을 알 수 있다면 암호가 모두 비슷한 방식으로 해당 카드에서 파생 된 것으로 추측 할 수 있습니다.
그러나 대부분의 경우 이것은 실제로 문제가되지 않습니다. 서비스 A의 비밀번호가 단일 문자만으로 서비스 B의 비밀번호와 다르고 두 서비스가 모두 안전한 경우 (예 : 스트레이트 해시 또는 일반 텍스트 대신 비밀번호에 대해 소금에 절인 해시 저장) "계산 불가능" 암호의 유사 여부는 물론 암호의 유사 여부를 결정합니다.
짧은 대답은 다음과 같습니다. 암호가 어떤 종류의 패턴을 따르는 경우 암호 하나가 손상되면 다른 암호도 손상 될 수 있습니다. 그렇다고해서 실현 가능한 것은 아닙니다. 당신이있는 한 :
당신은 괜찮을 것입니다. 또한 서비스마다 다른 비밀번호를 사용해야합니다. 모든 것에 동일한 비밀번호를 사용하지 말고 동일한 비밀번호를 두 번 사용하지 마십시오. 암호와 같은 사용자 데이터 저장과 관련하여 모범 사례를 따르기를 거부하는 어리석은 회사로부터 보호하는 것이 중요합니다.
내 짧은 대답은 예 입니다. 예를 들어 : strongpassword + game.com이 손상되었습니다.
내가 착한 사람이라면 내가 사용한 패턴을 이해하고 다른 웹 사이트에서 시도하는 것이 정말 쉽습니다. 예를 들어 strongpassword + paypal.com
아아! ....
이 문제를 해결하기 위해 개인적으로 사용합니다.
hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )
첫 번째 암호를 알고 있으면 강력한 암호와 두 번째 암호를 찾기가 어렵습니다.
자세한 내용을 알고 싶다면 비밀번호 보안에 관한 블로그 항목을 작성하여 귀하의 질문에 정확하게 답변하십시오.
http://yannesposito.com/Scratch/en/blog/Password-Management/
또한 손상된 비밀번호를 변경하고 비밀번호의 최대 길이 등을 기억할 수 있어야하기 때문에 모든 비밀번호를보다 쉽게 관리 할 수있는 도구를 만들었습니다.
이것은 당신이 걱정하는 것에 달려 있습니다. 한 사이트에서 다른 사이트의 자격 증명을 사용하는 광범위한 자동 공격의 경우 공격자는 가장 동일한 부분 (정확히 동일한 암호를 사용하는 사람)을 먼저 따릅니다. 일단 소진되면 공격이 여전히 눈에 띄지 않으면 공격자는 자신이 생각하는 일반적인 패턴, 아마도 기본 암호 + 사이트와 같은 것을 찾습니다.
자신의 원래 공격 (암호를 얻은 공격)이 눈에 띄지 않았다고 확신하는 영리한 공격자는 자신이 채굴 한 암호를 사용하기 전에이 처리를 수행합니다. 이 경우 공격자에게 명백한 정도에 따라 예측 가능한 수정은 위험합니다.
암호가, 말, 접두사 플러스 임의의 요소 인 경우 와 공격자가이 의심, 그리고 공격자가 다른 사이트에 암호 해시를 가지고, 그들은 약간 빨리 다른 암호를 얻을 수 있습니다.
예측 가능한 것을 해싱하여 암호를 만들 수 있지만,이 방법이 일반적으로 사용되거나 공격자로부터 개인적인 관심을받는 경우에는 저장되지 않습니다. 어떤면에서, 암호 강도는 인기있는 차익 거래의 문제입니다.
tl; dr는 결정 론적 인 일을하지 않습니다.
58htg%HF!c감사에게 쓸모가 많은