web-dev-qa-db-ja.com

同じWebサイト上の複数のアカウントに同じパスワードを使用することは悪い習慣ですか?

異なるWebサイトの2つのアカウントに同じパスワードを使用することに対して私が聞いた議論は、攻撃者が1つのWebサイトに違反してパスワードを見つけた場合、他のWebサイトのアカウントにログインできるというものです。

ただし、両方のアカウントが同じWebサイトにある場合、理論的には、攻撃者がそのWebサイトに違反すると、パスワードが異なるかどうかに関係なく、両方のパスワードを見つけることができます。

それで、この状況で同じパスワードを使用することに問題がありますか?

1
user35734

サービスの違反とパスワードが認証側で適切に処理されると考えると、パスワードデータベースにアクセスした攻撃者はブルートフォース攻撃しか受けられません。

ブルートフォース攻撃とは、すべての可能性を徹底的にチェックすることを意味しますが、方法を「0000からZZZZへ」という最も愚かなものに限定するものではありません。つまり、ユーザーが同じパスワードで複数のアカウントを作成する可能性があると予想する攻撃者は、アルゴリズムを簡単に変更して、発見された各パスワードに対してすべてのアカウントをチェックすることができます。

これが問題かどうかはあなた次第です。


クライアント側の攻撃を検討する場合、攻撃者は複数のアカウントとパスワードのペアから1つのパスワードを学習して、それらすべてを知る必要があります。

同じマシンからすべてのアカウントにログインする場合、攻撃対象は一定のままですが、モバイルデバイスで1つのアカウントを使用し、セキュリティで保護されたPCでもう1つのアカウントを使用すると、侵害されたデバイスの1つがすべてのアカウントに関する情報を公開します。

繰り返しますが、アイデアを表明したということは、他の人がそれを考えたり実行したりすることを意味し、攻撃者はおそらくそれを利用します(コストはゼロです)。

これが問題かどうかはあなた次第です。

0
techraf