Ho sempre letto che usare la stessa password su più siti è un rischio. Mi chiedo quale sia la vera ragione per questo?
Nel mio caso, uso la stessa password su più siti ovunque. La mia password è, tuttavia, molto strong e complicata e lunga che ho salvato in un file di testo e quindi copiare per ogni connessione sui siti a cui mi iscrivo. Questo metodo mi protegge dal rischio perché la mia password è troppo complicata e lunga?
Il riutilizzo della password è una cattiva pratica di sicurezza a causa di un semplice scenario di attacco come questo:
Con il riutilizzo di una password lunga e complicata, stai ancora affrontando le stesse minacce evidenziate nello schema precedente.
Inoltre, salvare una password in un file di testo è una pratica non sicura in quanto la privacy della tua password dipende anche dalla sicurezza del tuo computer (pensa ai plugin del browser dannosi che potresti installare, agli attacchi di download drive-by che installano spyware sul tuo computer ...) e quello della tua rete. Puoi anche prendere in considerazione altri scenari come gli attacchi di phishing sui quali la forza della tua password non ha un ruolo.
Ogni volta che si registra e si lascia che un sistema esterno memorizzi la propria password, si dipenderà dal nuovo sistema per assicurarsi che la password sia protetta correttamente. Ciò implica che se uno dei sistemi esterni non protegge la password (ad es. Memorizza la password in testo semplice e ha una vulnerabilità di SQL injection) correttamente, indipendentemente dall'abitudine di sicurezza della password (ad esempio utilizzando una password molto grande, memorizzandola in Gestione password ), la tua password condivisa verrà esposta se tale sistema esterno viene compromesso. Una volta compromessi, altri possono usare la password per provare ad accedere ad altri potenziali siti e avranno successo se condividi la stessa password.
Avere una password sicura non ti protegge dalle vulnerabilità relative al riutilizzo della password.
Quindi hai creato una password complessa che utilizzi per iscriverti alla maggior parte dei servizi Internet che utilizzi. Grande! Ora sei probabilmente al sicuro da persone che stanno tentando di accedere a il tuo specifico account indovinando ogni possibile password che potresti avere e sperando che uno di essi sia corretto (un "bruto" forza "attacco").
Diciamo che ti imbatti nel mio nuovissimo sito web, che ti offre alcune fantastiche newsletter a cui sei veramente interessato. Decidi di iscriverti a questo sito. Inserisci il tuo indirizzo email e la tua solita password complessa.
Sfortunatamente per te, non sono stato esattamente onesto, e mentre installerò un abbonamento alla newsletter per te, invierò anche l'indirizzo email e la password che hai appena inserito nella mia email personale. Una volta arrivato nella mia casella di posta, posso provare la combinazione su facebook, gmail, yahoo mail, twitter, ecc. Prima o poi entrerò in uno dei tuoi account.
In alternativa, supponiamo di essere onesto e che non volessi rubare il tuo account, ma ero davvero pessimo in fatto di sicurezza. Forse stavo memorizzando la tua password in un database in testo semplice, e non avevo nulla in atto per impedire a un utente malintenzionato di entrarci. Così, un giorno arriva una persona cattiva che trova un modo per copiare il contenuto del database, e improvvisamente ha anche la tua email e la tua password! Oops.
Quando scegli una password per qualsiasi sito web o servizio, è sempre meglio presumere che la password potrebbe, a un certo punto, essere letta da qualcuno.
Devi solo assicurarti che se e quando ciò accada, le informazioni compromesse non consentono a nessuno di entrare in nessuno dei tuoi altri account.
Il riutilizzo della password fa aumentare la superficie di attacco dando a un attaccante la possibilità di compromettere tutti i tuoi account attraverso un attacco. Questo può essere realizzato tramite un MITM (che richiederebbe un certificato forgiato per i siti TLS), ottenendo la password attraverso un database (che richiede l'accesso, ed è anche praticamente impossibile con un hash sicuro + sale), o un sito Web dannoso , l'ultima opzione è la più semplice.
La tua password ora è sicura quanto il sito web più debole e molti siti utilizzano protocolli di sicurezza deprecati. L'entropia della tua password non ti proteggerà, perché ci sono metodi di entropia molto più bassi per ottenere la tua password.
Incoraggerei tutti a proteggere le loro password tanto quanto a loro interessa di essere compromesse. Non puoi sapere se una sicurezza dei siti è buona o meno, e quindi la tua password potrebbe essere compromessa. Supponiamo che la sicurezza del sito sia brutta e che domani la tua password possa essere conosciuta da milioni di persone.
Ciò significa:
Reimpiegate le password solo su siti "usa e getta" che vi costringono a registrare una password che non vi interesserebbe se qualcuno vi avesse fatto irruzione. Un buon esempio potrebbe essere adobe.com che ti costringe a registrarti, ma è altrimenti un account inutile.
Non riutilizzare mai le password per l'account e-mail principale poiché l'accesso all'email principale può essere utilizzato per reimpostare la password su altri siti. Abilita l'autenticazione a due fattori, se possibile.
Non riutilizzare mai una password per nulla in cui potresti perdere denaro. Banche, paypal e siti di investimento sono tutti obiettivi facili da rubare. Purtroppo, la maggior parte di questi siti non offre l'autenticazione a due fattori, quindi il riutilizzo della password potrebbe facilmente costare denaro dal furto.
Riutilizzare la stessa password non significa che i dati di accesso al sito e i dati che proteggono siano sicuri quanto la password (si spera molto sicura). Significa invece che i tuoi dati di accesso e i dati sono invece sicuri quanto il sito con la sicurezza più debole sul tuo elenco di siti.
Se qualcuno infrange / ruba, non so, il database utente di Adobe o < a href="https://en.wikipedia.org/wiki/2012_LinkedIn_hack"> LinkedIn o Ashley Madison's (per non suggerire tu hai un account lì ovviamente) allora avranno l'indirizzo email / nome utente e la password di tutti quelli che utilizzano quel sistema come il tuo su quel sito.
Credi davvero che sia al di là dell'ingegno delle persone abbastanza intelligenti da farlo essere anche abbastanza intelligente da scrivere un processo automatizzato per provare quei nomi utente e password screpolati contro altri siti popolari?
La forza della tua password dipende dalla sicurezza del sito su cui la usi. Tutto quello che serve è 1 sito per non proteggerlo e espone tutti gli altri. Nozioni di base come password di hashing con un sale dovrebbe essere il minimo per qualsiasi sito che richiede la tua password. Se il negozio è in formato testo, allora hanno esposto ogni altro sito che usi. Se un sito ti invia una password se hai dimenticato e non un modo per reimpostare, allora hanno memorizzato la tua password come testo normale e dovresti cambiare tutti gli account che utilizzavano quella password.
Se vuoi davvero usare la stessa password per tutti i siti web, perché non usare un gestore di password? In questo modo, devi solo ricordare una password (per il tuo gestore di password) e hai anche una password complessa unica per ogni sito. Se alcuni siti web che utilizzi sono compromessi, solo quella password è compromessa e non tutti i tuoi accessi.
Penso che sia bello avere una password strong il più lunga possibile ed evitare parole per impedire attacchi di forza bruta che usano parole nel dizionario per indovinare password casuali come thunderbolt25815 .
Ma alcuni siti lo impediscono impostando un limite di password. Inserisci la password sbagliata troppe volte e ti bloccherà o bloccherà il tuo account per impedire che tutti gli accessi da qualsiasi luogo
Ma alcuni siti no e alcuni siti hanno una cattiva sicurezza. Se qualcuno accede al database in testo normale senza crittografia, tutte le password del tuo sito web sono inutili. Si limiteranno a inserire le password più e più volte in siti diversi fino a quando non avranno il sito giusto. In alcuni dei casi peggiori, possono ottenere l'accesso a qualcosa che ha la tua carta di credito come Amazon che potrebbe costare un sacco di soldi. Lo vuoi? Vuoi sacrificare la sicurezza per password facili da ricordare? Se "no", ottieni una password lunga diversa per ogni sito e prova a ottenere la verifica in due passaggi, in modo che nessuno possa accedere a un sito semplicemente hackerando un sito. Avranno bisogno di più di una semplice password.
Leggi altre domande sui tag passwords password-policy