自分のパスワードの1つが侵害された場合他のパスワードも侵害されていますか？

パスワードの1つが危険にさらされている場合、それは自動的に他のパスワードも危険にさらされていることを意味しますか？非常に多くの変数が使用されていますが、問題は、パスワードを脆弱にするものと、自分自身を保護するために何ができるかについての興味深い考察です。.

本日の質疑応答セッションでは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの1部門であるSuperUserのご好意により、当社にお越しいただきます。.

質問

SuperUserの読者Michael McGowanは、1回のパスワード侵害の影響がどれほど広範囲に及ぶかについて興味があります。彼は書く：

ユーザーがサイトAで安全なパスワードを使用し、サイトBで別の同じような安全なパスワードを使用するとします。 mySecure12＃パスワードA サイトAと mySecure12＃パスワードB サイトB（意味がある場合は「類似性」の異なる定義を使用してください）.

次に、サイトAのパスワードが何らかの形で侵害されたとします。おそらく、サイトAの悪意のある従業員またはセキュリティの侵害です。これは、サイトBのパスワードも事実上危険にさらされているということですか、それとも「パスワードの類似性」というようなことはありませんか。サイトAでの侵害がプレーンテキストの漏洩であったのかハッシュ化されたバージョンであったのかには違いがありますか?

マイケルは彼の仮説的状況が過ぎ去ったかどうか心配するべきです?

答え

SuperUserの貢献者は、Michaelの問題を解決するのを助けました。スーパーユーザー投稿者Quesoはこう書いています。

最後の部分に最初に答えると：はい、開示されたデータが平文とハッシュのどちらであるかによって違いが生じます。ハッシュでは、単一の文字を変更すると、ハッシュ全体が完全に異なります。攻撃者がパスワードを知る唯一の方法は、ハッシュをブルートフォースすることです（ハッシュが無塩の場合は特に不可能です。レインボーテーブルを参照）。.

類似性の問題に関しては、攻撃者があなたについて何を知っているかによって異なります。サイトAでパスワードを取得し、ユーザー名などの作成に特定のパターンを使用していることがわかっている場合は、使用しているサイトのパスワードに対しても同じ規則を試すことができます。.

あるいは、上記のパスワードで、攻撃者として、サイト固有のパスワード部分と一般的なパスワード部分を区別するために使用できる明白なパターンが見つかった場合は、その部分をカスタムパスワード攻撃に合わせて変更します。あなたへ.

例として、58htg％HF！のような超セキュアなパスワードがあるとします。このパスワードをさまざまなサイトで使用するには、サイト固有の項目を先頭に追加して、facebook58htg％HF！c、wellsfargo58htg％HF！c、またはgmail58htg％HF！cのようなパスワードを設定します。あなたのfacebookをハックしてfacebook58htg％HFを入手しましょう！cそのパターンを見て、あなたが使うかもしれないと思う他のサイトでそれを使うつもりです。.

それはすべてパターンに帰着します。攻撃者はパスワードのサイト固有の部分と一般的な部分のパターンを見ることができますか?

もう1人のスーパーユーザー寄稿者、Michael Trauschは、ほとんどの状況で仮想的な状況がどうして心配の種にならないかを説明します。

最後の部分に最初に答えると：はい、開示されたデータが平文とハッシュのどちらであるかによって違いが生じます。ハッシュでは、単一の文字を変更すると、ハッシュ全体が完全に異なります。攻撃者がパスワードを知る唯一の方法は、ハッシュをブルートフォースすることです（ハッシュが無塩の場合は特に不可能です。レインボーテーブルを参照）。.

類似性の問題に関しては、攻撃者があなたについて何を知っているかによって異なります。サイトAでパスワードを取得し、ユーザー名などの作成に特定のパターンを使用していることがわかっている場合は、使用しているサイトのパスワードに対しても同じ規則を試すことができます。.

あるいは、上記のパスワードで、攻撃者として、サイト固有のパスワード部分と一般的なパスワード部分を区別するために使用できる明白なパターンが見つかった場合は、その部分をカスタムパスワード攻撃に合わせて変更します。あなたへ.

例として、58htg％HF！のような超セキュアなパスワードがあるとします。このパスワードをさまざまなサイトで使用するには、サイト固有の項目を先頭に追加して、facebook58htg％HF！c、wellsfargo58htg％HF！c、またはgmail58htg％HF！cのようなパスワードを設定します。あなたのfacebookをハックしてfacebook58htg％HFを入手しましょう！cそのパターンを見て、あなたが使うかもしれないと思う他のサイトでそれを使うつもりです。.

それはすべてパターンに帰着します。攻撃者はパスワードのサイト固有の部分と一般的な部分のパターンを見ることができますか?

現在のパスワードリストが多様でランダムではないことが心配な場合は、包括的なパスワードセキュリティガイドをチェックすることを強くお勧めします。電子メールパスワードが侵害された後の回復方法。あたかもすべてのパスワードの母体であるあなたのEメールパスワードが危険にさらされているかのようにあなたのパスワードリストを作り直すことによって、あなたのパスワードポートフォリオを素早くスピードアップさせるのは簡単です。.

説明に追加するものがありますか？コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか？こちらのディスカッションスレッドをチェックしてください。.