就我而言,我在各地的多个站点上使用相同的密码。但是,我的密码非常强大,复杂且冗长,因此我将其保存在文本文件中,然后针对我订阅的站点上的每个连接进行复制。因为我的密码太长太长,此方法是否可以保护我免受风险?
#1 楼
由于这样的简单攻击情形,密码重用是一种不良的安全做法:
来源:XKCD 重复使用冗长而复杂的密码,您仍然面临着与上面突出显示的相同的威胁架构。
除此之外,将密码保存在文本文件中是不安全的做法,因为密码的私密性还取决于计算机的安全性(请考虑一下可能会安装的恶意浏览器插件,下载攻击,将间谍软件安装在您的计算机上……)以及网络上。您还可以考虑其他情况,例如网络钓鱼攻击,在这种情况下密码的强度不起作用。
评论
密码的私密性始终取决于计算机的安全性。毕竟,这就是您要输入密码的内容。
–timuzhti
2015年9月29日在7:46
@Panzercrisis是什么意思? Black Hat的漫画中没有地方盲目猜测用户的密码。
– Ajedi32
2015年9月29日在13:27
@Panzercrisis他通过要求用户在注册其“免费”服务时输入该信息来整理电子邮件,用户名和密码的列表。除了用户可能正在使用该用户名和密码组合的其他服务之外,无需在此猜测任何内容。
– Ajedi32
15年9月29日在13:58
直到Randall对它进行漫画之前,安全威胁才是安全威胁。
– corsiKa
2015年9月29日下午14:57
上面所述的恶意站点只是您的密码可能遭到破坏的一种方法。更常见的情况是由于无知,无能,懒惰或以上所有原因而无法正确存储密码的网站。例如,根据定义,通过电子邮件发送密码来响应忘记密码请求的任何站点都将其存储不正确。
–stantanus
15年9月29日在15:38
#2 楼
每次注册并让外部系统存储密码时,您都依赖于新系统来确保密码安全。这意味着,如果外部系统之一没有正确保护您的密码(例如,他们以纯文本形式存储密码并具有SQL注入漏洞),则不管您的密码安全习惯如何(例如,使用很大的密码,将其存储在密码管理器中) ),如果该外部系统遭到入侵,您的共享密码将被公开。一旦遭到破坏,其他人便可以使用该密码尝试登录其他潜在站点,如果您共享相同的密码,它们将成功。#3 楼
拥有强密码并不能保护您免受密码重用相关的漏洞的影响。因此,您想出了一个强密码,用于注册使用的大多数Internet服务。大!现在,通过猜测您可能拥有的每个可能的密码并希望其中一个密码正确(“暴力”攻击),您可以免受试图登录到您的特定帐户的人的伤害。
假设您访问了我全新的网站,该网站为您提供了您真正感兴趣的精彩时事通讯。您决定注册此网站。您输入您的电子邮件地址和通常的强密码。
不幸的是,我并不十分诚实,尽管我将为您设置新闻通讯订阅,但我还将向您发送的电子邮件地址和密码发送到了我的个人电子邮件中。到达我的收件箱后,我可以在Facebook,Gmail,Yahoo Mail,Twitter等上尝试组合。迟早我要进入您的一个帐户。
假设我是诚实的,并且不会盗窃您的帐户,但是我确实在安全方面很糟糕。也许我是在以纯文本格式将您的密码存储在数据库中,却没有任何东西可以阻止攻击者进入该密码。因此,有一天,一位讨厌的人找到了一种复制数据库内容的方法,突然他也收到了您的电子邮件和密码!糟糕。
当您为任何网站或服务选择密码时,最好总是假设某个时候有人可以读取该密码。
您只需要确保一旦发生这种情况,被泄露的信息就不会让任何人进入您的任何其他帐户。
评论
“不会保护您免受漏洞侵害”-好吧,它可以保护您免受与密码重用有关的一个漏洞的侵害,即如果一个经过精心设计和保存的密码文件丢失给攻击者,并且密码很弱,那么攻击者获取所有密码。发问者可能犯了普遍的谬误,即采取安全措施和单一威胁模型,并认为在消除特定威胁时不需要采取该措施,并认为不需要采取安全措施。
–史蒂夫·杰索普(Steve Jessop)
15/09/29在18:09
@SteveJessop如果密码足够强,则无所谓。并且只要哈希值是MD5或更高,那么只要密码足够强大,仍然有可能具有安全性。威胁将是您使用的所有站点中密码存储不安全的一个站点。
–卡巴斯德
2015年10月1日,9:46
@kasperd:盐很重要。如果您的密码需要进行十亿次猜测,而我拥有一百万个未加盐的密码,那么我将进行十亿次猜测,因为这会使我得到您的密码以及每个强度相同的密码。如果密码是固定的,我将不会做出十亿个猜测,因为这些猜测只会给我一个密码。我需要10 ^ 15个猜测才能破解您的密码以及强度相同的每个密码。
– gnasher729
2015年10月2日,上午8:42
现在,如果攻击者只是在输入我的密码,而不在乎其他数百万个加密密码,那么盐就没什么了。但这极不可能。而且,如果攻击者使用的是其他百万个用户之一的密码,并且只关心该密码,那么我肯定他们不会抛弃其他破解的密码(包括您的密码)。
– gnasher729
2015年10月2日,上午8:43
@ gnasher729我说过,如果密码足够牢固,您建议您在10 12次尝试中就可以猜到。如果只需要10²次尝试就可以猜出密码,那么它的强度还不够。如果密码的熵少于128位,我永远都不会称它为强密码。凭着这种力量,我们正在尝试10次尝试。
–卡巴斯德
2015年10月2日,11:30
#4 楼
密码重用通过使攻击者能够通过一次攻击来破坏您的所有帐户,从而增加了攻击面。这可以通过MITM(对于TLS站点需要伪造的证书),通过数据库获取密码(需要访问并且使用安全的哈希+ salt几乎不可能)或通过恶意网站来实现。最后一种选择是最简单的。您的密码现在仅与最弱的网站一样安全,并且许多站点使用已贬值的安全协议。密码的熵不会保护您,因为获取密码的熵方法要低得多。
评论
不推荐使用->不推荐使用
– ErikE
2015年9月30日在16:22
#5 楼
我鼓励每个人都尽可能保护自己的密码,只要他们关心被泄露。您不知道网站的安全性是否良好,因此您的密码可能会遭到破坏。假设网站安全性很差,明天您的密码可能会被数百万的人知道。这意味着:
仅在废弃网站上重复使用密码,迫使您进行注册如果有人闯入,您将无需担心的密码。一个很好的例子是adobe.com,它会强迫您注册,但实际上它是一个无用的帐户。
永远不要重复使用主电子邮件帐户的密码,因为可以使用对主电子邮件的访问来重置密码您在其他站点上的密码。如果可能,请启用两因素身份验证。
切勿在可能会造成损失的任何事情上重复使用密码。银行,贝宝和投资网站都是容易被您窃取的目标。可悲的是,这些站点中的大多数都不提供双重身份验证,因此密码的重复使用很容易使您因盗窃而损失金钱。
评论
好吧,我不知道您所在的国家/地区,但是在英国,网上银行的两要素身份验证是一种规范。您不仅需要输入用户定义的密码,还需要输入银行定义的密码。对于银行帐户,密码重用并不是真正的问题。
–轨道轻赛
2015年9月29日在23:29
不幸的是,@ LightnessRacesinOrbit大多数美国银行都不提供2FA(大多数情况下使用“安全问题”代替)
–Machavity
2015年9月30日15:09
@Machavity:悲痛:(我很抱歉。为成为“新世界”付出了很多,是吗?
–轨道轻赛
2015年9月30日15:17在
#6 楼
重用相同的密码并不意味着您的网站登录名和它们所保护的数据都与您的密码(希望非常安全)一样安全。相反,这意味着您的登录名和数据与站点列表中安全性最弱的站点一样安全。如果有人闯入/窃取,我不知道Adobe的用户数据库,LinkedIn或Ashley Madison(当然不建议您在该帐户中拥有帐户),那么他们将拥有该站点上使用您的系统的每个人的电子邮件地址/用户名和密码。
您是否真的认为足够聪明的人来做这件事还不够聪明,以至于编写一个自动化过程来尝试将那些破解的用户名和密码用于其他受欢迎的网站?
评论
并不是说我不同意您的总体观点,但是您提到的网站的密码是经过哈希处理的。在OP的前提下,我们使用“非常强壮”的密码,因此无法从哈希中恢复该密码。当然,不以哈希形式存储密码的网站很可能遭到破坏。
– Volker
2015年10月2日,7:39
@volker你是对的,但我提到了所有3个站点,因为这些站点的密码数据被破解了。散列是一个障碍(通常是因为做得不好)而不是一堵墙。
–罗布·莫尔
2015年10月2日,9:12
实际上,您的安全性比站点列表中最弱的安全性要弱。阻止黑客仅出于收集密码的目的打开自己的站点的方法。如果他们可以说服您在其网站上进行注册(免费色情内容,猫的图片等),则它们具有您所有网站的密钥。
–emory
2015年10月2日,10:19
@emory绝对。听到这种情况已经超出我们的怀疑范围,我不应该感到惊讶。
–罗布·莫尔
2015年10月2日,10:21
@沃尔克我有些不同意。有几种哈希蛮力强制解决方案。其中一些是随机生成的,而不仅仅是字典。如果有人想从哈希中恢复密码,弄清楚盐,哈希过程并且愿意对其进行暴力破解,那么就存在从哈希中恢复的可能性。我在某种程度上同意强密码,这可能需要数天,数月,数年或数十年的时间,而且除非您有非常耐心的攻击者,否则很可能不会发生。
–培根·布拉德
15-10-30在23:04
#7 楼
密码的强度取决于使用它的网站的安全性。它所需要的只是一个站点而不对其进行保护,并且它公开了所有其他站点。对于任何要求输入密码的网站,像加盐的哈希密码这样的基础知识都应该是最少的。如果将其以纯文本格式存储,那么他们也会公开您使用的所有其他站点。如果某个站点通过电子邮件将密码遗忘给您,而不是一种重置方式,则该站点会将您的密码存储为纯文本格式,您应该更改所有使用该密码的帐户。#8 楼
如果您确实要对所有网站使用相同的密码,为什么不使用密码管理器?这样,您只需要记住一个密码(用于密码管理器),并且每个站点都有唯一的强密码。如果您使用的任何网站都被盗用,则只会破坏该密码,而不是您所有的登录信息。#9 楼
我认为最好使用尽可能长的强密码,并避免使用单词来防止暴力攻击,这种攻击是使用字典中的单词来猜测诸如thunderbolt25815之类的随机密码。 但是有些站点通过设置密码限制来防止这种情况。输入错误密码的次数过多,它会锁定您或锁定您的帐户,以阻止从任何地方进行所有登录。
,但是某些网站却没有,某些网站的安全性很差。如果有人未经加密就以纯文本形式入侵数据库,则您所有的网站密码都是无用的。他们只是将密码反复放在不同的站点,直到获得正确的站点。在某些最坏的情况下,他们可以访问拥有您信用卡之类的东西,例如亚马逊,这可能会花费您很多钱。你想要那个吗?您是否想牺牲安全性以便于记住密码?如果为“否”,那么将获得每个站点都不同的长密码,并尝试进行两步验证,这样就没有人可以仅通过入侵一个站点来访问一个站点。他们将不仅需要密码。
评论
第一部分没有回答这个问题。第二部分与该问题无关,最后一部分重复其他人说过的话。请确保您的答案使用正确的句子结构,在主题上正确,并说出与其他答案不同的内容。
– schroeder♦
18年8月9日在16:39
评论
在多个网站上使用相同的密码是一件很糟糕的事情。如果这些网站之一以明文形式存储密码,并且密码数据库遭到破坏,那么您的密码是否超强也不会有任何区别。文本文件?真?使用像LastPass这样的密码钱包服务(还有很多其他密码,仅作为示例),在每个站点上使用不同的非常复杂的密码,并使用一个复杂的,唯一的密码保护您的钱包,而您不会将其用于其他任何用途。 br />
@ JPhi1618因为没有什么比将所有密码存储在第三方服务中安全的了。听起来像是解决问题而不是解决问题。
@Mast一些密码钱包可让您将文件本地存储在加密文件中。如果希望在多个或移动设备上使用密码,则可以使用在线服务,但是对于所有级别的妄想症都有解决方案。
@mast lastpass允许您将所有密码存储在本地,并在不影响服务器的情况下跨设备同步它们。它是尽可能安全的。如果您不使用密码管理器,那就错了。