Utilizzo della stessa stringa di base per una password in diversi accessi diversi [duplicato]

0

È chiaro che usare la stessa password per diversi siti Web è una cattiva idea, perché se un utente malintenzionato riesce a ottenere la password, può accedere agli altri siti Web in cui si sta utilizzando la stessa password .

Tuttavia, mi chiedevo se sarebbe stato sicuro avere la stessa stringa di base in tutte le password, quindi aggiungere altri caratteri alla fine che renderebbero la password univoca. Ad esempio, se ho la stringa di base "p @ ssw0rd", su un sito web vorrei usare la password "p @ ssw0rdstring1" e su un altro sito web vorrei usare la password "p @ ssw0rdstring2".

Questo metodo è sicuro? se no, perché? e a quali attacchi è vulnerabile questo metodo?

    
posta yubuntu 27.12.2013 - 10:14
fonte

2 risposte

4

Il problema più grosso è che, se perdono due delle tue password, un utente malintenzionato può trovare un modello all'interno delle tue password. Questo gli avrebbe permesso di generare un attacco di dizionario applicando la logica trovata ad altri hash recuperati per cercare di trovare le altre tue password.

p@ssw0rdstring1 e p@ssw0rdstring2 differiscono solo per un carattere. Ciò significa che un utente malintenzionato può facilmente intuire che probabilmente avrà utilizzato p@ssw0rdstring3 o p@ssw0rdstring4 . Sebbene sia possibile utilizzare una password di base per aumentare la lunghezza della password, non aumenterà la sicurezza se un utente malintenzionato sa che si sta utilizzando sempre questo prefisso.

Mentre non stai specificando come sceglierai il resto della tua password, devo insistere per non usare nulla che sia specifico del sito. Quindi, cosa viene dopo la base della password dovrebbe essere completamente casuale. Se è casuale, dovresti ricordarlo per sito web, il che significa che per sito web devi ricordare una password, quindi perché non ricordare qualcosa di completamente casuale senza usare una base?

Se hai difficoltà a ricordare le password dovresti provare a utilizzare un gestore di password come KeePass o Passwordsafe . I gestori di password ti consentono di scegliere password diverse per sito web. Queste password sono protette da un singolo keyfile e / o password. Scegliere una password unica, che non si ripete, è essenziale qui.

    
risposta data 27.12.2013 - 10:29
fonte
1

Nel senso più stretto, sì stai dando all'attaccante più indizi e più informazioni sono sempre più preziose di meno.

In pratica, la nozione di un utente malintenzionato che ottiene più password in chiaro per lo stesso utente, o guadagna molto da qualsiasi password di base solida (lunga, lettere + numeri + simboli), è piuttosto arcana.

    
risposta data 27.12.2013 - 12:07
fonte

Leggi altre domande sui tag