¿Es una mala práctica usar la misma contraseña en diferentes sitios?

  

Incluso si las contraseñas de un sitio están en peligro, el atacante aún no conoce los nombres de usuario o los sitios en los que se usa la misma contraseña, o incluso si se usa la misma contraseña en cualquier lugar nuevamente.

¿Por qué necesita saber ? Si tiene un conjunto de nombres de usuario y contraseñas, ¿cómo le dolería probar el conjunto con sitios comunes como Facebook, Twitter, Gmail, etc.? ¿Cuáles son las probabilidades de que alguien use la misma contraseña pero diferentes nombres de usuario?

Sí, es una mala práctica. Use contraseñas seguras, aleatorias y únicas para cada sitio.

Debe considerar la importancia de cada una de estas cuentas para usted.

La mayoría de los usuarios de Internet tienen una gran cantidad de cuentas de bajo valor, creadas quizás para comentar en un blog o publicar una vez en un foro. El uso de una única contraseña de bajo valor en todas estas cuentas es aceptable. No diría que es una buena práctica, pero es aceptable.

Si un atacante obtiene su contraseña, no saben con seguridad dónde más se usa, pero pueden adivinar. Mucha gente usa Google, Facebook, Twitter, eBay, etc. que son una buena apuesta. Tal vez el nombre de usuario sea el mismo en todos, pero si no, a menudo puede iniciar sesión con la dirección de correo electrónico, o usar la función de "nombre de usuario olvidado" para averiguarlo.

Y es por eso que no debe compartir las contraseñas de las cuentas que le interesan.

El atacante no tiene ninguna razón para no intentarlo. Si los datos de usuario en un sitio (que casi siempre incluyen un nombre de usuario y una contraseña (posiblemente con hash) están comprometidos, un atacante asumirá que el usuario puede haber usado las mismas credenciales.

A quién le importa si el usuario no puede tener. El atacante no se limita a una suposición y es una excelente primera suposición que funcionará para muchos usuarios.

Esta es la razón por la que cada notificación de incumplimiento sugiere que cambie su contraseña en otros sitios que tienen la misma contraseña.

Para cada usuario individual, la posibilidad de tener una cuenta en el próximo objetivo puede ser baja, sin embargo, al probar cientos de miles de cuentas, habrá aciertos.

Even if the passwords to a site are compromised the attacker still doesn't know the user names

En realidad, el 99% de las veces él sabrá el nombre de usuario, porque están almacenados juntos.

¿Cómo se supone que el programa de inicio de sesión valida la contraseña con un nombre de usuario si no se compara de alguna manera? Además, piense en un foro: incluso si hipotéticamente tomo solo las contraseñas, e incluso si hay 10.000 usuarios en el foro, ¿cuánto tiempo cree que requerirá que elimine los nombres de los mensajes en el foro? también una función de lista de usuarios) y unirlos?

or sites the same password is used on,

Un cracker solo probará sitios comunes (redes sociales, foros, bancos comunes ...). Las probabilidades de encontrar el mismo inicio de sesión en otro sitio son mucho más de lo que parece.

or even if the same password is used anywhere again at all!

Lo intentará de todos modos, no hay nada que perder al hacerlo.

El punto es que los nombres de usuario no son privados, mientras que las contraseñas sí lo son. Si llega a las contraseñas, también es fácil obtener los nombres de usuario.