È una cattiva pratica usare la stessa password su siti diversi?

0

È considerata una cattiva pratica utilizzare la stessa password su siti separati, in caso affermativo perché? Anche se le password di un sito sono compromesse, l'utente malintenzionato non conosce ancora i nomi utente oi siti su cui viene utilizzata la stessa password, o anche se la stessa password viene utilizzata da qualche altra parte ancora!

Ad esempio se il database su hotmail.com è compromesso e l'utente malintenzionato ora vuole compromettere yahoo.com, sembra improbabile che raccolga nomi utente su yahoo.com e provi ognuna delle password compromesse da hotmail.com su ogni nome utente su yahoo.com. Quindi qualcuno può illustrarmi uno scenario in cui ciò potrebbe aiutare un utente malintenzionato se la stessa password è stata utilizzata più di una volta?

    
posta Celeritas 16.02.2014 - 10:45
fonte

4 risposte

2

Even if the passwords to a site are compromised the attacker still doesn't know the user names or sites the same password is used on, or even if the same password is used anywhere again at all!

Perché ha bisogno di sapere ? Se ha una serie di nomi utente e password, come farà male a provare il set contro siti comuni come Facebook, Twitter, Gmail ecc? Quali sono le probabilità che qualcuno usi la stessa password ma nomi utente diversi?

Sì, è una cattiva pratica. Utilizza password forti, casuali e univoche per ogni sito.

    
risposta data 16.02.2014 - 10:47
fonte
1

Devi considerare l'importanza di ciascuno di questi account per te.

La maggior parte degli utenti di Internet ha un gran numero di account di basso valore, creati forse per commentare un blog o pubblicare una volta su un forum. L'utilizzo di una singola password di basso valore su tutti questi account è accettabile. Non direi che è una buona pratica, ma è accettabile.

Se un utente malintenzionato ottiene la tua password, non sa con certezza in quale altro posto viene utilizzata, ma può indovinare. Così tante persone usano Google, Facebook, Twitter, eBay, ecc. Che sono tutte una buona scommessa. Forse il nome utente è lo stesso su tutti, ma in caso contrario, spesso è possibile accedere utilizzando l'indirizzo email, oppure utilizzare la funzione "nome utente dimenticato" per scoprirlo.

Ed è per questo che non dovresti condividere le password per gli account che ti interessano.

    
risposta data 16.02.2014 - 16:02
fonte
0

L'attaccante non ha motivo di non provarci. Se i dati dell'utente su un sito (che include praticamente sempre un nome utente e una password (possibilmente con hash) sono compromessi, un utente malintenzionato presuppone che l'utente abbia utilizzato le stesse credenziali.

Chi se ne importa se l'utente non può avere. L'autore dell'attacco non è limitato a un'ipotesi ed è un'ottima prima ipotesi che funzionerà per molti utenti.

Questo è il motivo per cui ogni notifica di violazione suggerisce di cambiare la password su altri siti che hanno la stessa password.

Per ogni singolo utente la possibilità di avere un account al prossimo obiettivo potrebbe essere bassa, tuttavia quando si provano centinaia di migliaia di account ci saranno hit.

    
risposta data 16.02.2014 - 16:41
fonte
0

Even if the passwords to a site are compromised the attacker still doesn't know the user names

In realtà il 99% delle volte saprà il nome utente, perché sono memorizzati insieme.

Come si suppone che il programma di accesso convalidi la password con un nome utente se non corrispondono in qualche modo? Inoltre, pensa a un forum: anche se io ipoteticamente afferro solo le password, e anche se ci sono 10.000 utenti nel forum, quanto tempo pensi che mi richiederà di rasentare i nomi utente dai messaggi nel forum (spesso c'è anche una funzione lista utenti) e abbinarli?

or sites the same password is used on,

Un cracker proverà semplicemente su siti comuni (social network, forum, banche comuni ...). Le probabilità di trovare lo stesso login su un altro sito sono molto più di quanto sembri pensare.

or even if the same password is used anywhere again at all!

Proverà comunque, niente da perdere nel farlo.

Il punto è che i nomi utente non sono privati, mentre le password lo sono. Se si arriva alle password, è facile ottenere anche i nomi utente.

    
risposta data 16.02.2014 - 17:10
fonte

Leggi altre domande sui tag