Jika salah satu kata sandi Anda disusupi, apakah itu otomatis berarti bahwa kata sandi Anda yang lain juga dikompromikan? Meskipun ada beberapa variabel saat bermain, pertanyaannya adalah pandangan yang menarik tentang apa yang membuat kata sandi rentan dan apa yang dapat Anda lakukan untuk melindungi diri Anda.
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-subdivisi Stack Exchange, kumpulan situs web Q & A berbasis komunitas.
Pembaca SuperUser Michael McGowan ingin tahu sejauh mana dampak dari pelanggaran sandi tunggal itu adalah; dia menulis:
Misalkan pengguna menggunakan kata sandi yang aman di situs A dan kata sandi aman yang berbeda tetapi serupa di situs B. Mungkin sesuatu seperti
mySecure12 # PasswordAdi situs A danmySecure12 # PasswordBdi situs B (jangan ragu untuk menggunakan definisi yang berbeda dari "kesamaan" jika itu masuk akal).Anggaplah kemudian bahwa kata sandi untuk situs A entah bagaimana dikompromikan ... mungkin seorang karyawan jahat situs A atau kebocoran keamanan. Apakah ini berarti bahwa kata sandi situs B secara efektif telah dikompromikan juga, atau apakah tidak ada yang namanya "kesamaan kata sandi" dalam konteks ini? Apakah ada bedanya apakah kompromi di situs A adalah kebocoran teks biasa atau versi berciri?
Haruskah Michael khawatir jika situasi hipotetisnya terjadi?
Kontributor SuperUser membantu menjernihkan masalah untuk Michael. Kontributor superuser Queso menulis:
Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah cleartext vs. hashed. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan memaksa paksa hash (bukan tidak mungkin, terutama jika hash tidak berbintik. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian khusus situs dari kata sandi dari porsi kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus yang disesuaikan kepadamu.
Sebagai contoh, katakanlah Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item khusus situs ke awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda bisa bertaruh jika saya hack facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan yang mungkin Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian khusus situs dan porsi umum kata sandi Anda?
Kontributor Superuser lain, Michael Trausch, menjelaskan bagaimana dalam kebanyakan situasi situasi hipotetis tidak banyak menimbulkan kekhawatiran:
Untuk menjawab bagian terakhir terlebih dahulu: Ya, itu akan membuat perbedaan jika data yang diungkapkan adalah cleartext vs. hashed. Dalam hash, jika Anda mengubah satu karakter, seluruh hash benar-benar berbeda. Satu-satunya cara penyerang mengetahui kata sandinya adalah dengan memaksa paksa hash (bukan tidak mungkin, terutama jika hash tidak berbintik. Lihat tabel pelangi).
Sejauh pertanyaan kesamaan, itu akan tergantung pada apa yang diketahui penyerang tentang Anda. Jika saya mendapatkan kata sandi Anda di situs A dan jika saya tahu Anda menggunakan pola tertentu untuk membuat nama pengguna atau semacamnya, saya dapat mencoba konvensi yang sama pada kata sandi di situs yang Anda gunakan.
Atau, dalam kata sandi yang Anda berikan di atas, jika saya sebagai penyerang melihat pola yang jelas yang dapat saya gunakan untuk memisahkan bagian khusus situs dari kata sandi dari porsi kata sandi generik, saya pasti akan membuat bagian dari serangan kata sandi khusus yang disesuaikan kepadamu.
Sebagai contoh, katakanlah Anda memiliki kata sandi super aman seperti 58htg% HF! C. Untuk menggunakan kata sandi ini di situs yang berbeda, Anda menambahkan item khusus situs ke awal, sehingga Anda memiliki kata sandi seperti: facebook58htg% HF! C, wellsfargo58htg% HF! C, atau gmail58htg% HF! C, Anda bisa bertaruh jika saya hack facebook Anda dan dapatkan facebook58htg% HF! c Saya akan melihat pola itu dan menggunakannya di situs lain yang saya temukan yang mungkin Anda gunakan.
Semuanya bermuara pada pola. Apakah penyerang akan melihat pola di bagian khusus situs dan porsi umum kata sandi Anda?
Jika Anda khawatir bahwa daftar kata sandi Anda saat ini tidak beragam dan cukup acak, kami sangat menyarankan untuk memeriksa panduan keamanan kata sandi lengkap kami: Cara Memulihkan Setelah Kata Sandi Email Anda Terganggu. Dengan membuat ulang daftar kata sandi Anda seolah-olah ibu dari semua kata sandi, kata sandi email Anda, telah disusupi, mudah untuk segera membawa portofolio kata sandi Anda ke kecepatan.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
