Es "nombres de usuario diferentes" tan bueno como "contraseñas diferentes"

40

Las respuestas a esta pregunta , y el xkcd asociado me hicieron preguntarme: si uso diferentes nombres de cuenta en cada servicio, ¿entonces puedo usar la misma contraseña difícil de descifrar en cada servicio?

Estoy pensando que el pirateo de contraseñas entre sitios, a-la-xkcd, lo realiza una máquina, no una persona. Por lo tanto, es fácil tener nombres de usuario / correos electrónicos que dependen del sitio (por ejemplo, todos los correos electrónicos dirigidos a @ gregories.net me llegan, por lo que puedo tener bank-account@gregories.net como el correo electrónico de mi banco). Eso es mucho más fácil de recordar que un montón de contraseñas seguras, pero si el banco es hackeado, bank-account@gregories.net no va a funcionar en ningún otro lugar.

¿Cuál es el problema con esto?

    
pregunta GreenAsJade 08.06.2015 - 04:40
fuente

8 respuestas

61

El análisis de Big Data significa que sus diferentes nombres de usuario probablemente no están tan disociados entre sí como usted cree que son. En otras palabras, es probable que todos sean identificables como tuyos.

Pero quizás el problema más grande es que si su contraseña se ve comprometida en un ataque, entonces se convierte en parte de una base de datos de contraseñas que los atacantes pueden usar contra otras bases de datos de contraseñas. Independientemente de sus nombres de usuario, todavía comprometerán (potencialmente) sus otras cuentas simplemente porque ya tienen su contraseña común en su base de datos.

Los vectores de ataque más recientes utilizan más técnicas heurísticas, y cosas como las tablas arco iris menos, pero aún así consideran que si un enfoque heurístico ha roto su contraseña (y las lecciones aprendidas se han incluido en los algoritmos de descifrado de contraseñas) para romper la misma contraseña en todos los lugares donde la has usado.

Aún está mejor usando contraseñas únicas para cada servicio, OMI.

    
respondido por el Craig 08.06.2015 - 08:49
fuente
16
  

Si uso nombres de cuenta diferentes en cada servicio, ¿puedo usar la misma contraseña difícil de descifrar en cada servicio?

Si los nombres de las cuentas se pueden asociar con la misma persona (es decir, diferentes foros, el mismo estilo de escritura, contenido similar, etc.), no importa si los nombres son diferentes. Y, a diferencia del texto simple o la contraseña con hash, los nombres de usuario a menudo se muestran a otros usuarios.

  

Estoy pensando que el pirateo de contraseñas entre sitios, a-la-xkcd, lo realiza una máquina, no una persona.

Esto depende de los objetivos del atacante. Si el objetivo es comprometer tantas cuentas como sea posible, entonces podría tener razón. Si el objetivo es robar la identidad de una persona específica, no importa mucho si esta persona usa nombres de usuario diferentes, siempre que estos puedan asociarse con la misma persona.

    
respondido por el Steffen Ullrich 08.06.2015 - 06:36
fuente
2

Usted realmente no debería. ¿La razón por la cual? Una vez que se descifra una contraseña común a varias cuentas, obtener acceso es solo un caso de encontrarlos. Dado que los nombres de las cuentas son relativamente públicos, están menos protegidos que los datos de contraseña. Un poco de trabajo de investigación inocuo le daría a alguien acceso a la mayor parte o la totalidad de su actividad en línea.

    
respondido por el Grizzled 08.06.2015 - 08:59
fuente
1

La mayoría de las personas comunes no se preocupan y no están tan paranoicas como nosotros sobre este tipo de cosas, por lo que usualmente usan la misma contraseña (o variaciones de la misma), en la mayoría de los servicios si esas son sus cuentas bancarias, correo electrónico, nombre de usuario del juego, nombre de usuario del foro , (etc. lo que sea) y lo mismo se aplica a los nombres de usuario (relacionados con su pregunta). Esto hace que la población general de nuestro planeta, que tiene acceso a Internet sea un blanco fácil para los piratas informáticos, los usuarios y hasta su propia familia / amigos, ya que una vez que descubra una contraseña o nombre de usuario, puede probar variaciones en sus otros servicios y las claves son: Podrás encontrar una coincidencia.

Ahora volvemos a su pregunta de: ¿Son "nombres de usuario diferentes" tan buenos como "contraseñas diferentes?

Yo creo que sí. En esta era en la que la privacidad se está volviendo cada vez más difícil de conseguir, ya que grandes corporaciones como Google y Microsoft encuentran mejores formas y mejoran su tecnología para usar sus anuncios publicitarios para rastrear todas nuestras actividades y lanzarnos anuncios relacionados con nuestras actividades, lo mejor que podamos Es para hacerles más difícil localizarnos. Creo que esto también se aplica por motivos de seguridad. Si usa el mismo nombre de usuario en varios sitios web, hace que sea más fácil para un pirata informático o cualquier persona rastrearlo y tener una imagen completa de todas sus actividades en Internet. La mayoría de la gente piensa que esto no es un problema. Lo malo pero lo es. Agregue también al hecho de que este tipo de phyloshopy de poner el mismo nombre de usuario también lo hace más fácil para que sus amigos, familiares y colegas descubran todo lo que hace en Internet con el simple hecho de que no tuvo el cuidado suficiente de usar diferentes nombres de usuario. Esto podría llevar a situaciones molestas / vergonzosas, ya que esas personas en tu vida real saben dónde pueden encontrarte en el mundo virtual.

Por ejemplo, un hacker puede descubrir su contraseña en el servicio X que utiliza. También puede intentar verificar si su contraseña es la misma en el servicio Y, ya que usa el mismo nombre de usuario en ambos, incluso si las contraseñas son diferentes, es posible que ya haya recopilado suficiente información sobre sus gustos, deseos y su otra contraseña para probar coincidencias similares. Para no tener que pasar por esta carga, lo mejor que puedes hacer es usar diferentes marcos de usuario, contraseñas y, si es posible, diferentes correos electrónicos o alias para dificultarles la tarea.

    
respondido por el BrotherJoe 08.06.2015 - 05:01
fuente
1

La forma más sencilla de romper esto es probablemente así:

  1. A una de sus cuentas se les ha roto la contraseña por alguna razón (podemos leer esto, como si eso nunca sucediera, entonces usar el mismo usuario / pase en todas partes también estaría bien, así que este es nuestro punto de partida).
  2. Su contraseña difícil de adivinar se coloca en un diccionario de contraseñas.
  3. Su nombre de usuario (que generalmente no se considera secreto, y rara vez como un secreto vital) se prueba con el diccionario de contraseñas, que tiene su contraseña.
  

Eso es mucho más fácil de recordar que un montón de contraseñas seguras

Y aún así es más difícil de recordar que no tratar de recordar contraseñas. Sin embargo, es posible que finalmente tenga que doblar su convención de nomenclatura para que los nombres de usuario se ajusten a las políticas de los diferentes servicios, por lo que tendrá que usar un almacén de contraseñas seguro para realizar un seguimiento de ellas. En cuyo caso, ¿por qué seguirías usando la misma contraseña?

    
respondido por el Jon Hanna 08.06.2015 - 16:05
fuente
1

La pregunta aquí siempre es " ¿cuál es su modelo de amenaza? " No tiene sentido hacer tales preguntas sin un contexto adecuado dado por un modelo de amenaza. La mayoría de las veces, un nombre de usuario diferente no es tan seguro como una contraseña diferente. Otras veces, como situaciones de espionaje contra espía o situaciones de coacción, un nombre de usuario diferente puede ser absolutamente efectivo.

En casi todos los casos (al menos el 99%, si no más), encontrará que un nombre de usuario diferente es menos seguro que una contraseña diferente porque los enfoques de seguridad tradicionales asumen que un nombre de usuario no es un secreto, mientras que la contraseña es un secreto. Esto significa que cualquier persona que almacene, muestre o use sus credenciales no podrá proteger suficientemente la información que importa.

Como un contraejemplo específico de su reclamo, considere el caso en el que un atacante ha comprometido un servidor, de modo que tenga acceso a la base de datos de pares de nombre de usuario / contraseña de varios sitios. Digamos que todos ellos cumplen con lo que se consideran "buenas" reglas de seguridad: las contraseñas están incluidas en formato sal y hash, por lo que no hay contraseñas de texto simple disponibles. Sin embargo, los nombres de usuario están disponibles en texto simple (esto es muy típico, porque no hay razón para hacer hash de datos que no sean secretos). Ahora, considere un compromiso de uno de esos servidores que le proporcione sus credenciales completas, nombre de usuario / contraseña:

  • Si tiene contraseñas diferentes para cada servidor, el atacante puede determinar que tiene cuentas en los otros servidores, pero debido a que las contraseñas aún están encriptadas y sin contraseña, ganan muy poco para atacar a los otros servidores.
  • Si tiene diferentes nombres de usuario para cada servidor, el atacante simplemente escanea la lista de usuarios, elabora su contraseña conocida con el salt correcto para cada usuario hasta que encuentre una coincidencia. Luego mira la columna de nombre de usuario y tiene su nombre de usuario "secreto". Con solo unos minutos de trabajo, tiene acceso a ambas cuentas.

Como nota: hay herramientas que ayudarán con ataques como este, incluso si solo haces permutaciones sencillas de tus contraseñas para mantenerlas "únicas". Como seres humanos no somos muy impredecibles, podemos sentir que somos inteligentes cambiando los dedos un punto a la derecha al escribir una contraseña, pero muchas suites de descifrado de contraseñas ya incluyen ese simple cambio como una de las cosas que prueban.

    
respondido por el Cort Ammon 09.06.2015 - 18:00
fuente
0

Es fácil sobreestimar el interés de los piratas informáticos en descubrir cómo encajan los 2 nombres de usuario. Si alguien realmente lo desea, puede resolverlo, pero a la mayoría de los hackers no les importa eso. Para ellos, los nombres de usuario son solo 1 parte de un formulario de confirmación de identidad de 2 partes, y la única razón por la que les importaría es si les puede traer dinero. Obviamente, un banco sería un objetivo primordial para tal cosa, algo como Paypal o un banco electrónico. Si alguien puede obtener su nombre de usuario del banco y su contraseña, pueden robarle su dinero.

Por eso, tener varios nombres de usuario para elegir es una ventaja. Incluso si pueden averiguar su nombre de usuario y contraseña regulares, si usa otro nombre de usuario y contraseña para su banco, deben comenzar desde cero. TENGA EN CUENTA que aún debe usar otra contraseña, pero si su nombre de usuario en los otros sitios que está usando es lo suficientemente diferente de su nombre de usuario de banco, es poco probable que un atacante establezca una conexión entre los dos.

Los diferentes nombres de usuarios son solo un obstáculo menor para defenderse contra ataques dirigidos, pero no lo defenderán contra un atacante que solo quiere comprometer tantas cuentas como sea posible.

    
respondido por el Nzall 09.06.2015 - 21:46
fuente
0

Es muy común que un sitio solicite una dirección de correo electrónico en lugar de un nombre de usuario, que puede causarle problemas, y si utiliza un correo electrónico diferente que puede ser difícil de administrar.

Desde el punto de vista de la seguridad, es una buena idea, y puede confundir a los piratas informáticos que lo conocen en redes sociales o en cualquier otro sitio público y tratar de usar su mismo nombre de usuario en los sitios de banco o paypal,

esto es parte de una forma en que los hackers obtienen un nombre de usuario o al menos lo que creen que será un nombre de usuario.

cuando se trata de cifrado, la contraseña siempre se cifra mientras se almacena. Es posible que el nombre de usuario no esté encriptado o esté visible en la pantalla, por lo que es posible que lo pirateen fácilmente luego la contraseña, para la contraseña necesitarán un algoritmo de descifrado, incluso si han pirateado los datos.

De todos modos, si está cambiando uno de los valores y ambos están encriptados, está al mismo nivel para el pirata informático y ambos campos tendrán la misma dificultad para que él los rastree.

    
respondido por el friendy 10.06.2015 - 13:39
fuente

Lea otras preguntas en las etiquetas