Si un mot de passe est compromis, un mot de passe «similaire» est-il également compromis?

37

Supposons qu'un utilisateur utilise un mot de passe sécurisé sur le site A et un mot de passe sécurisé différent mais similaire sur le site B. Peut-être quelque chose comme mySecure12#PasswordAsur les sites A et mySecure12#PasswordBB (n'hésitez pas à utiliser une définition différente de "similarité" si cela a du sens).

Supposons alors que le mot de passe du site A soit en quelque sorte compromis ... peut-être un employé malveillant du site A ou une faille de sécurité. Cela signifie-t-il que le mot de passe du site B a également été compromis, ou existe-t-il une "similarité de mot de passe" dans ce contexte? Est-ce que cela fait une différence que le compromis sur le site A soit une fuite de texte brut ou une version hachée?

security  passwords  password-protection 
Michael McGowan
source

Réponses:

38

Pour répondre à la dernière partie en premier: Oui, le fait que les données divulguées soient en texte clair par rapport à celles hachées ferait une différence. Dans un hachage, si vous modifiez un seul caractère, le hachage entier est complètement différent. Le seul moyen pour un attaquant de connaître le mot de passe est de forcer brutalement le hachage (pas impossible, surtout si le hachage n'est pas salé. Voir les tableaux arc-en-ciel ).

En ce qui concerne la question de similarité, cela dépend de ce que l'attaquant sait à votre sujet. Si je reçois votre mot de passe sur le site A et si je sais que vous utilisez certains modèles pour créer des noms d'utilisateur, vous pouvez utiliser les mêmes conventions pour les mots de passe des sites que vous utilisez.

Sinon, dans les mots de passe que vous avez indiqués ci-dessus, si, en tant qu'attaquant, je vois un schéma évident que je peux utiliser pour séparer une partie du mot de passe spécifique au site de la partie du mot de passe générique, je vais certainement adapter cette partie d'une attaque par mot de passe personnalisée. à toi.

Par exemple, disons que vous avez un mot de passe super sécurisé comme 58htg% HF! C. Pour utiliser ce mot de passe sur différents sites, vous devez ajouter un élément spécifique au site, afin de disposer de mots de passe du type: facebook58htg% HF! C, wellsfargo58htg% HF! C ou gmail58htg% HF! C. Vous pouvez parier que si pirater votre facebook et obtenir facebook58htg% HF! c Je vais voir ce modèle et l'utiliser sur d'autres sites que je trouve que vous pouvez utiliser.

Tout se résume à des modèles. L'attaquant verra-t-il un motif se retrouver dans la partie spécifique au site et dans la partie générique de votre mot de passe?

queso
source
4
vous venez de rendre 58htg%HF!cinutile partout mon mot de passe par défaut partout , merci beaucoup
Tobias Kienzler
1
Hou la la! Quelles étaient les chances? Ne sortez pas dans un orage pendant un moment.
Queso
hm, je devrais jouer à la loterie cependant: -7 (+1 btw)
Tobias Kienzler
11

Cela dépend vraiment de ce que vous voulez en venir!

Il existe un nombre arbitraire de méthodes pour déterminer si un mot de passe est similaire à un autre. Disons par exemple que vous utilisez une carte de mot de passe et que quelqu'un d'autre a le même (ou sait simplement laquelle vous avez). S'ils compromettent l'un de vos mots de passe et constatent qu'il ne s'agit que d'une rangée sur la carte de mot de passe, ils devineront (peut-être même correctement) que vos mots de passe sont tous dérivés de cette carte de la même manière.

Mais pour la plupart des choses, ce n’est vraiment pas un problème. Si votre mot de passe sur le service A ne diffère du mot de passe sur le service B que par un seul caractère et que les deux services sont sécurisés (par exemple, stockez des hachages salés pour votre mot de passe au lieu du hachage ou du texte en clair), il est alors "infaisable en calcul" pour déterminer si les mots de passe sont similaires, sans parler de leur similitude.

Une réponse brève est la suivante: si vos mots de passe suivent un type quelconque de motif, alors oui, il est probable que la compromission d’un mot de passe entraîne celle des autres. Cependant, cela ne signifie pas que ce sera faisable. Tant que tu:

  1. Ne jamais utiliser le même mot de passe pour plus d'un service,
  2. Introduisez un élément aléatoire (même s’il n’est que légèrement) dans la génération de vos mots de passe, et
  3. Ne jamais transmettre ou enregistrer vos mots de passe en texte clair

Vous devriez aller bien. Et rappelez-vous de toujours avoir des mots de passe différents pour les différents services. N'utilisez pas simplement le même mot de passe pour tout, et n'utilisez même pas le même mot de passe deux fois. Il est important de se prémunir contre les entreprises stupides qui refusent de suivre les meilleures pratiques en matière de stockage de données utilisateur telles que les mots de passe.

Michael Trausch
source
7

Ma réponse courte est oui . Par exemple, strongpassword + game.com est compromis,

Si je suis un attaquant, il m'est très facile de comprendre le modèle que vous avez utilisé et de l'essayer sur d'autres sites Web. Par exemple, mot de passe fort + paypal.com

Argh! ....

Pour résoudre ce problème, j'utilise personnellement:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

En utilisant des propriétés mathématiques sur le hachage (j'utilise sha1), sachant que le premier mot de passe est difficile à découvrir, mot de passe fort et le deuxième mot de passe.

Si vous voulez plus de détails, j'ai écrit une entrée de blog sur la sécurité par mot de passe qui répond exactement à votre question:

http://yannesposito.com/Scratch/en/blog/Password-Management/

J'ai également créé des outils pour faciliter la gestion de tous mes mots de passe, car vous devez pouvoir modifier un mot de passe compromis, vous rappeler la longueur maximale d'un mot de passe, etc.

Yogsototh
source
1
SHA-1 n'est plus considéré comme mathématiquement sûr.
Bonjour71
4
@ Bonjour71 avez-vous une source pour cela? Je serais curieux de lire plus.
nhinkle
tinsology.net/2010/12/is-sha1-still-viable est certes un cas limité, mais le fait de pouvoir rechercher les 6 premiers caractères de l'espace de clé rapidement sur des ressources louées signifie qu'une personne disposant de réseaux de zombies et de tables arc-en-ciel peut en faire beaucoup plus. . En règle générale, toutes choses étant égales par ailleurs, le hachage / chiffrement gaspille le plus de cycles de processeur pour que la force brute soit la meilleure. :)
Stephanie
4

Cela dépend de ce qui vous inquiète. Pour une attaque automatisée à grande échelle utilisant les informations d'identification d'un site sur un autre, l'attaquant s'attaque d'abord à la partie la plus facile, à savoir les personnes utilisant exactement le même mot de passe. Une fois que cela est épuisé, si l'attaque passe toujours inaperçue, l'attaquant cherchera ce qu'il pense être des modèles courants - probablement quelque chose comme mot de passe de base + site.

Un attaquant intelligent qui est certain que son attaque initiale (celle qui a obtenu vos mots de passe) est passé inaperçu ferait ce traitement avant d’utiliser les mots de passe qu’elle a minés. Dans ce cas, toute modification prévisible est dangereuse, en fonction de son évidence pour l'attaquant.

Si votre mot de passe est, par exemple, un préfixe plus un élément aléatoire, et que l'attaquant le suspecte et que l'attaquant a votre mot de passe haché sur un autre site, il peut obtenir votre autre mot de passe un peu plus tôt.

Vous pouvez créer vos mots de passe en hachant quelque chose de prévisible, mais si cette pratique devient courante ou si vous recevez une attention personnelle de la part de votre attaquant, cela ne vous sauvera pas. À certains égards, la force du mot de passe est une question d'arbitrage de popularité.

tl; dr ne fait rien de déterministe.

Dhasenan
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.