web-dev-qa-db-ja.com

パスワードが非常に強力な場合、パスワードの再利用は問題になりますか?

複数のサイトで同じパスワードを使用することは危険であるといつも読んでいます。これの本当の理由は何だろうと思いますか?

私の場合、どこでも複数のサイトで同じパスワードを使用しています。しかし、私のパスワードは非常に強力で複雑で長いため、テキストファイルに保存してから、購読しているサイトの接続ごとにコピーします。この方法では、パスワードが複雑で長すぎるため、リスクから保護されますか?

72
chocolate

次のような単純な攻撃シナリオのため、パスワードの再利用はセキュリティの悪い習慣です。

enter image description here
ソース:XKCD

長くて複雑なパスワードを再利用しても、上記のスキーマで強調されているのと同じ脅威に直面しています。

これに加えて、パスワードをテキストファイルに保存することは安全ではありません。パスワードのプライバシーはコンピュータの安全性にも依存するためです(インストールする悪意のあるブラウザプラグイン、ドライブバイダウンロード攻撃、スパイウェアのインストールなど)。マシン...)とあなたのネットワークのそれ。また、パスワードの強度が影響しないフィッシング攻撃のような他のシナリオを検討することもできます。

173
user45139

登録して外部システムにパスワードを保存させるたびに、新しいシステムを使用してパスワードが適切に保護されていることを確認します。これは、外部システムの1つがパスワードを保護していない場合(例:プレーンテキストでパスワードを保存し、SQLインジェクションの脆弱性がある場合)、パスワードのセキュリティ習慣(例:非常に大きなパスワードを使用して、パスワードマネージャーに保存する)に関係なく)、外部システムが侵害された場合、共有パスワードが公開されます。危険にさらされると、他のユーザーはそのパスワードを使用して他の潜在的なサイトにログインしようとすることができ、同じパスワードを共有している場合は成功します。

38
jhash

強力なパスワードを設定しても、パスワードの再利用に関連する脆弱性から保護されるわけではありません。

したがって、使用するほとんどのインターネットサービスにサインアップするために使用する強力なパスワードを考え出しました。すごい! おそらくログインしようとする人から安全ですあなたの特定の可能なすべてのパスワードを推測し、そのうちの1つが正しいことを期待してアカウントを作成します(「ブルートフォース」攻撃)。

あなたが本当に興味を持っている素晴らしいニュースレターを提供する私の真新しいウェブサイトに出くわしたとしましょう。あなたはこのサイトにサインアップすることを決定します。メールアドレスと通常の強力なパスワードを入力します。

残念ながら、私は正確に正直ではありませんでした。ニュースレターの購読を設定しますが、入力したメールアドレスとパスワードを個人のメールに送信します。それが受信トレイに届いたら、facebook、gmail、yahooメール、Twitterなどで組み合わせを試すことができます。遅かれ早かれ、いずれかのアカウントに入ります。

あるいは、私が正直で、アカウントを盗もうとはしなかったが、私はセキュリティが本当に悪かったとしましょう。多分私はあなたのパスワードを平文でデータベースに保存していて、攻撃者がそれに侵入するのを阻止するための場所がありませんでした。それで、ある日、データベースの内容をコピーする方法を見つけた厄介な人がやって来て、突然彼はあなたのメールアドレスとパスワードも手に入れました!おっとっと。

任意のWebサイトまたはサービスのパスワードを選択するときは、いつかそのパスワードが誰かに読み取られる可能性があると想定することが常に最善です。

それが発生した場合に、侵害された情報によって他のotherアカウントに誰もアクセスできないようにする必要があります。

31
Hecksa

パスワードの再利用とは、攻撃者が1回の攻撃ですべてのアカウントを侵害できるようにすることで、攻撃対象を拡大することです。これはMITM(TLSサイトでは偽造された証明書が必要です)、データベースからパスワードを取得(アクセスが必要、そして安全なハッシュ+ソルトではほとんど不可能)によって実現できます または悪意のあるWebサイト 、最後のオプションが最も簡単です。

現在、パスワードの安全性は最も脆弱なWebサイトと同じであり、多くのサイトでは旧式のセキュリティプロトコルを使用しています。パスワードを取得するエントロピー方法ははるかに低いため、パスワードのエントロピーはあなたを保護しません。

10
timuzhti

誰もが自分のパスワードが危険にさらされることを心配するのと同じくらい安全にすることをお勧めします。サイトのセキュリティが優れているかどうかがわからないため、パスワードが危険にさらされる可能性があります。サイトのセキュリティが悪く、パスワードが明日何百万人もの人に知られる可能性があるとします。

つまり:

誰かが侵入した場合に気にしないパスワードを登録するように強制する使い捨てサイトでのみパスワードを再利用します。良い例は、登録を強制するAdobe.comですが、それ以外の場合は役に立たないアカウントです。

メインのメールへのアクセスを使用して他のサイトでパスワードをリセットできるため、メインのメールアカウントのパスワードを再利用しないでください。可能であれば、2要素認証を有効にします。

お金を失う可能性がある場合は、パスワードを再利用しないでください。銀行、Paypal、および投資サイトはすべて、あなたから盗むのが簡単なターゲットです。残念なことに、これらのサイトのほとんどは2要素認証を提供していないため、パスワードを再利用すると、盗難による損失が発生しやすくなります。

5
Steve Sether

同じパスワードを再利用しても、サイトへのログインを意味するわけではなく、サイトの保護データはすべて(できれば非常に安全な)パスワードと同じくらい安全です。代わりに、サイトのリストにweakestセキュリティが設定されているため、ログインとデータはサイトと同じくらい安全です。

誰かが侵入/盗む場合、私は知りません Adobe's ユーザーデータベース、または LinkedIn 'sまたは Ashley Madison's (推奨しませんyouもちろんそこにアカウントを持っています)そして、彼らはあなたのようなシステムを使用しているそのサイトの全員のメールアドレス/ユーザー名とパスワードを持っています。

他の人気のあるサイトに対してこれらのクラックされたユーザー名とパスワードを試すための自動化されたプロセスを作成するのに十分スマートであるようにそれを行うのに十分スマートな人々の知恵を超えていると本当に思いますか?

3
Rob Moir

パスワードの強度は、それを使用するサイトのセキュリティにかかっています。必要なのは、それを保護しない1つのサイトであり、他のすべてを公開します。ソルトを使用したパスワードのハッシュのような基本は、パスワードを要求するすべてのサイトで最低限にする必要があります。プレーンテキストで保存する場合は、使用している他のすべてのサイトも公開されています。リセットする方法ではなく、パスワードを忘れた場合にサイトがパスワードをメールで送信すると、パスワードはプレーンテキストとして保存されているため、そのパスワードを使用していたすべてのアカウントを変更する必要があります。

1
RyanTCB

すべてのWebサイトに同じパスワードを使用したい場合は、パスワードマネージャーを使用してみませんか?そうすれば、1つのパスワード(パスワードマネージャー用)を覚えるだけで済み、サイトごとに一意の強力なパスワードを取得できます。使用しているWebサイトが侵害された場合、そのパスワードのみが侵害され、すべてのログインが侵害されるわけではありません。

1
JonnyWizz