Sono "nomi utente diversi" e "password diverse"

40

Le risposte a questa domanda , e il xkcd associato mi ha fatto riflettere: se uso diversi nomi di account in ogni servizio, quindi posso utilizzare la stessa password difficile da scomporre in ciascuno?

Penso che l'hacking di password cross-site, a-la-xkcd, sia fatto da una macchina, non da una persona. Quindi è facile avere nomi utente / e-mail dipendenti dal sito (ad esempio, tutte le e-mail indirizzate a @gregories.net vengono da me, quindi posso avere [email protected] come email per la mia banca). È molto più semplice da ricordare rispetto a un gruppo di password sicure, ma se la banca viene violata, [email protected] non funzionerà da nessun'altra parte.

Qual è il problema con questo?

    
posta GreenAsJade 08.06.2015 - 04:40
fonte

8 risposte

61

L'analisi dei Big Data significa che i tuoi diversi nomi utente probabilmente non sono dissociati l'uno dall'altro come pensi che siano. In altre parole, sono probabilmente tutti identificabili come i tuoi.

Ma forse il problema più grande è che se la tua password è compromessa in un attacco, allora diventa parte di un database di password che gli hacker possono usare contro altri database di password. Indipendentemente dai nomi utente, continueranno a compromettere (potenzialmente) gli altri account solo in virtù del fatto che hanno già la password comune nel loro database.

Più recenti vettori di attacco usano più tecniche euristiche e cose come le tabelle arcobaleno di meno, ma considerano comunque che se un approccio euristico ha infranto la tua password (e le lezioni apprese sono state ricondotte negli algoritmi di cracking della password), allora sta andando per rompere la stessa password ovunque tu abbia usato.

Stai ancora meglio usando password uniche per ogni servizio, IMO.

    
risposta data 08.06.2015 - 08:49
fonte
16

if I use different account names in every service, then can I use the same hard-to-crack password in each?

Se i nomi degli account possono essere associati alla stessa persona (ad esempio forum diversi, stesso stile di scrittura, contenuti simili ecc.), non importa se i nomi sono diversi. E, contrariamente al testo semplice o alla password con hash, i nomi utente vengono spesso visualizzati da altri utenti.

I'm thinking that cross-site password hacking, a-la-xkcd, is done by a machine, not a person.

Questo dipende dagli obiettivi dell'attaccante. Se l'obiettivo è di compromettere il maggior numero di account possibile, potresti avere ragione. Se l'obiettivo è rubare l'identità di una persona specifica, non importa molto se questa persona utilizza nomi utente diversi, purché possano essere associati alla stessa persona.

    
risposta data 08.06.2015 - 06:36
fonte
2

Tu davvero non dovresti. La ragione per cui? Una volta che una password comune a diversi account è decifrata, ottenere l'accesso è solo un caso di trovarli. Poiché i nomi degli account sono relativamente pubblici, sono meno protetti rispetto ai dati delle password. Un po 'di innocuo lavoro di ricerca darebbe quindi a qualcuno l'accesso alla maggior parte o a tutta la tua attività online.

    
risposta data 08.06.2015 - 08:59
fonte
1

La maggior parte delle persone comuni non si preoccupa e non è paranoico come noi su questo genere di cose, quindi di solito usano la stessa password (o variazioni di esso), nella maggior parte dei servizi se questi sono i loro conti bancari, email, nome utente del gioco, nome utente del forum , (ecc. lo chiami) e lo stesso vale per i nomi utente (relativi alla tua domanda). Questo rende la popolazione generale del nostro pianeta, che ha accesso a internet facili bersagli per hacker, companeis e persino i propri familiari / amici, dal momento che una volta che si scopre una password o un nome utente è possibile provare le variazioni di esso nei loro altri servizi e le sarai in grado di trovare una corrispondenza.

Ora torniamo alla tua domanda di: "nomi utente diversi" e "password diverse?

Credo di sì. In questa età in cui la privacy diventa sempre più difficile da ottenere come grandi aziende come Google e Microsoft trovano modi migliori e migliorano la loro tecnologia per utilizzare i loro annunci pubblicitari per tracciare tutte le nostre attività e lanciare annunci relativi alle nostre attività, la cosa migliore che possiamo fare è rendere più difficile per loro rintracciarci. Credo che ciò si applichi anche a fini di sicurezza, se si utilizza lo stesso nome utente in diversi siti Web è più facile per un hacker o chiunque rintracciare e avere un quadro completo di tutte le attività su Internet, la maggior parte delle persone pensa che questo non sia un brutta cosa ma lo è. Aggiungi anche al fatto che questo tipo di phyloshopy di putitng con lo stesso username rende anche più facile per i tuoi amici, familiari, colleghi colleghi scoprire tutto ciò che fai in internet semplicemente perché non sei abbastanza attento a usare nomi utente diversi. Il che potrebbe portare a situazioni fastidiose / imbarazzanti a seconda, dal momento che quelle persone nella tua vita reale sanno dove possono trovarti nel mondo virtuale.

Ad esempio, un hacker può scoprire la tua password nel servizio X che usi. Potrebbe provare anche a verificare se la tua password è la stessa nel servizio Y, dal momento che usi lo stesso nome utente in entrambi, anche se le password sono diverse potrebbe aver già raccolto abbastanza informazioni sui tuoi gusti, desideri e altre password da provare partite simili Per non dover affrontare questo fardello, la cosa migliore che puoi fare è usare diversi usenrami, password e, se possibile, e-mail o alias diversi per renderli più difficili.

    
risposta data 08.06.2015 - 05:01
fonte
1

Il modo più semplice in cui questo potrebbe essere risolto è probabilmente:

  1. Uno dei tuoi account ha la password interrotta per qualche motivo (possiamo prenderlo come letto, come se ciò non accadesse, quindi usare solo lo stesso utente / pass ovunque andrebbe bene, quindi questo è il nostro punto di partenza).
  2. La tua password difficile da indovinare viene inserita nel dizionario delle password.
  3. Il tuo nome utente (generalmente considerato segreto e raramente un segreto vitale) viene provato con il dizionario delle password, che contiene la tua password.

That's a lot easier to remember than a bunch of secure passwords

E tuttavia ancora più difficile da ricordare che non cercare di ricordare le password. Tuttavia, alla fine potresti trovarti a dover piegare la tua convenzione di denominazione per i nomi utente per adattarla alle diverse politiche dei servizi, quindi avrai bisogno di utilizzare un archivio password sicuro per tenerne traccia. In tal caso, perché continueresti a utilizzare la stessa password?

    
risposta data 08.06.2015 - 16:05
fonte
1

La domanda qui è sempre " qual è il tuo modello di minaccia? " Non ha senso porsi queste domande senza un contesto appropriato dato da un modello di minaccia. Il più delle volte un nome utente diverso non è sicuro come una password diversa. Altre volte, come situazioni di spionaggio o di spionaggio o situazioni di violenza, un nome utente diverso può essere assolutamente efficace.

In quasi tutti i casi (almeno il 99%, se non di più), troverete un nome utente diverso è meno sicuro di una password diversa perché i tradizionali approcci di sicurezza presuppongono che un nome utente non sia un segreto mentre la password è un segreto. Ciò significa che chiunque memorizzi, visualizzi o utilizzi le tue credenziali probabilmente non riuscirà a proteggere sufficientemente le informazioni che contano.

Come controesempio specifico del tuo reclamo, considera il caso in cui un utente malintenzionato ha compromesso un server, in modo che abbia accesso al database delle coppie nome utente / password di diversi siti. Diciamo che tutti sono interpretati da quelle che sono considerate "buone" regole di sicurezza: le password sono salate e sottoposte a hash, quindi non sono disponibili password in chiaro. Tuttavia, i nomi utente sono disponibili in testo normale (questo è molto tipico, perché non c'è motivo per i dati hash che non è un segreto). Ora, considera un compromesso su uno di quei server che fornisce le tue credenziali complete, nome utente / password:

  • Se hai password diverse per ogni server, l'utente malintenzionato può stabilire di avere account su altri server, ma poiché le password sono ancora salate e sottoposte a hash, guadagnano molto poco per attaccare gli altri server.
  • Se si hanno nomi utente diversi per ciascun server, l'utente malintenzionato scansiona semplicemente l'elenco degli utenti, eseguendo l'hash della password conosciuta con il valore corretto per ogni utente fino a quando non trova una corrispondenza. Quindi guarda la colonna del nome utente e ha il tuo nome utente "segreto". Con non più di pochi minuti di lavoro, ha accesso a entrambi gli account.

Come nota: ci sono strumenti che aiuteranno con attacchi come questo anche se fai semplicemente delle permutazioni delle tue password per mantenerle "uniche". Noi come esseri umani non siamo molto imprevedibili - potremmo sentirci furbi spostando le dita di un punto a destra durante la digitazione di una password, ma molte suite di password cracking includono già quel semplice spostamento come una delle cose per cui testano.

    
risposta data 09.06.2015 - 18:00
fonte
0

È facile sopravvalutare quanto gli hacker interessati siano in grado di capire come si adattano 2 nomi utente. Se qualcuno lo vuole davvero, può capirlo, ma la maggior parte degli hacker non se ne preoccupa davvero. Per loro i nomi utente sono solo 1 parte di un modulo di conferma dell'identità in 2 parti, e l'unica ragione per cui potrebbero interessarsene è se può portare loro denaro. Ovviamente, una banca sarebbe un obiettivo primario per una cosa del genere, qualcosa come Paypal o una banca elettronica. Se qualcuno può ottenere il tuo nome utente e la tua password, possono rubare i tuoi soldi.

Per questo motivo, avere più nomi utente tra cui scegliere è un bonus. Anche se riescono a capire il tuo nome utente e password, se usi un altro nome utente e una password per la tua banca, devono iniziare da zero. NOTA che dovresti ancora utilizzare un'altra password, ma se il tuo nome utente negli altri siti che utilizzi è sufficientemente diverso dal tuo nome utente di banca, è improbabile che un utente malintenzionato effettui una connessione tra il 2.

I nomi utente diversi sono solo un ostacolo minore per difendersi dagli attacchi mirati, ma non ti difenderanno da un utente malintenzionato che vuole solo compromettere il maggior numero di account possibile.

    
risposta data 09.06.2015 - 21:46
fonte
0

È molto comune per un sito chiedere l'indirizzo e-mail anziché il nome utente, che può causare problemi e se si utilizzano email diverse che possono essere difficili da gestire.

Dal punto di vista della sicurezza è una buona idea e può confondere quegli hacker che ti conoscono sui social network o su qualsiasi altro sito pubblico e provare a usare il tuo stesso nome utente su siti bancari o paypal,

questo fa parte del modo in cui gli hacker ottengono il nome utente o almeno quello che pensano diventerà il nome utente.

quando si parla di crittografia: le password vengono sempre crittografate durante la memorizzazione. Il nome utente potrebbe non essere crittografato o essere visibile sullo schermo, quindi è possibile che lo hackerino facilmente con la password, per la password avranno bisogno dell'algoritmo di decrittografia anche se hanno violato i dati.

In ogni caso, se stai cambiando uno dei valori e entrambi sono crittografati, è allo stesso livello per l'hacker e entrambi i campi saranno alla stessa difficoltà per lui da rintracciare.

    
risposta data 10.06.2015 - 13:39
fonte

Leggi altre domande sui tag