Password rotta = compromessa?

Question

Password rotta = compromessa?

#1 da (7 voti)
#2 da (3 voti)
#3 da (2 voti)

1

Recentemente il mio account su un social network è stato attaccato. L'autore dell'attacco è riuscito a infrangere la password, ma grazie all'autorizzazione a 2 fattori, non è stato sufficiente per accedere all'account. Ho ricevuto una notifica di un tentativo di autenticazione e una password monouso

La mia password che era rotta era piuttosto spessa - era lunga e conteneva lettere e cifre, non c'è modo che qualcuno potesse solo indovinarla, quindi tutto ciò a cui posso pensare è bruteforce. Ho già cambiato la password, ma è stata utilizzata anche su altri siti Web e questo mi disturba in qualche modo

So che le password degli utenti sono archiviate come hash nei database dei siti web e che gli hash hanno qualcosa come le collisioni - quando due stringhe diverse hanno lo stesso hash. Quindi potrebbe essere possibile che l'hacker non abbia effettivamente bruto la mia password attuale, ma solo una stringa che ha lo stesso hash della mia vera password

La mia domanda è: qual è la possibilità di ciò? Il fatto che la password si interrompa necessariamente significa che l'hacker ora conosce la mia password attuale?

passwords password-cracking

posta Andrew Che 12.03.2018 - 12:59

fonte

3 risposte

Leggi altre domande sui tag passwords password-cracking

HTTPS: i dati vengono scaricati quando si carica una pagina crittografata? Crittografia simmetrica sicura delle password per consentire agli amministratori di accedere come utenti

score 7 · Answer 1

Hai ragione che le collisioni di hash sono una cosa, ma non è affatto pertinente alla tua situazione. Le collisioni con una buona funzione di hash dovrebbero essere così rare che non ci sia un singolo caso noto all'umanità. Quindi la probabilità che esistano due password su una lista di brutforcers che entrambe danno lo stesso hash è molto, molto, molto piccola.

Quindi qualcuno conosce la tua password. Posso solo presumere che un sito in cui l'hai usato sia stato violato e gli aggressori ora stanno provando la tua password sugli account su altri siti. Le chances sono alte che i tuoi account che utilizzano questa password senza 2FA sono già stati violati. Ecco perché non dovresti riutilizzare le password!

Che cosa fare allora? Devi cambiare la tua password su ogni singolo sito in cui hai usato questo, e devi cambiarli in quelli unici e forti. Niente più riutilizzo. Sarebbe un ottimo momento per iniziare a utilizzare un gestore di password per aiutarti a ricordare tutte queste nuove password di cui avrai bisogno.

score 3 · Answer 2

Prima di tutto:

Non utilizzare la stessa password per più servizi.

Per una migliore comprensione della (non) -importanza della collisione per quanto riguarda l'hashing della password, leggi questa risposta .

Per ottenere la vera domanda qui:

Does the fact of the password break necessarily mean the attacker now knows my actual password?

No, non è così. Becaue non sappiamo quale algoritmo di hashing utilizza il sito in questione. E 'del tutto possibile che HMAC / SHA-256 sia usato E è scarsamente implementato, ogni password è con hash allo stesso valore e quindi chiunque può accedere all'account di tutti con una password casuale. Forse il sito è stato violato, le password sono archiviate in testo semplice e non sono affatto collegate. Senza sapere cosa succede dietro il log in prompt, sarebbe irragionevole speculare sulle informazioni che un utente malintenzionato ha.

Perché? Perché è anche possibile - e direi molto più probabilmente dati i dettagli nella tua domanda - che l'hacker ti ha visto digitare la tua password mentre navighi o hai avuto accesso alle tue credenziali in un altro modo (molto poco spettacolare). Questo è il motivo per cui dovresti immediatamente cambiare la / e password / e scansionare il / i tuo / i computer / i per malware. ^{e inoltre non utilizzare la stessa password per più servizi.}

score 2 · Answer 3

I know that users' passwords are stored as hashes in websites' databases

Beh, dovrebbe essere così, ma alcuni siti avevano scarse pratiche di sicurezza e memorizzato direttamente password in chiaro o quasi come password crittografate. Spero che questo non possa essere vero oggigiorno su siti seri, ma non ci scommetterei molto su di esso.

Ma se un sito viene violato, molte cose possono essere possibili. Gli hash proteggono dal furto del database degli utenti. Ma cosa succede se un utente malintenzionato riesce ad aggiungere un codice che intercetta un tentativo di connessione? Quel codice avrebbe accesso al nome utente e alla password in testo chiaro e potrebbe rimandarlo all'attaccante. Anche qui, siti seri con buone pratiche di sicurezza dovrebbero rilevare un'intrusione prima che l'hacker possa configurarli tutti, ma scommetterei anche meno qui.

E soprattutto che cosa è una delle macchine che hai usato almeno una volta per digitare la password? L'autore dell'attacco conoscerebbe solo la password ...