Est-ce que «différents noms d'utilisateur» valent «différents mots de passe»

si j'utilise des noms de compte différents dans chaque service, puis-je utiliser le même mot de passe difficile à déchiffrer dans chacun?

Si les noms de compte peuvent être associés à la même personne (c'est-à-dire des forums différents, le même style d'écriture, un contenu similaire, etc.), peu importe si les noms sont différents. Et, contrairement au texte brut ou au mot de passe haché, les noms d'utilisateur sont souvent affichés pour les autres utilisateurs.

Je pense que le piratage de mot de passe intersite, a-la-xkcd, est effectué par une machine, pas par une personne.

Cela dépend des objectifs de l'attaquant. Si l'objectif est de compromettre autant de comptes que possible, vous avez peut-être raison. Si le but est de voler l'identité d'une personne en particulier, peu importe si cette personne utilise des noms d'utilisateur différents tant qu'ils peuvent être associés à la même personne.

Vous vraiment ne devriez pas. La raison pour laquelle? Une fois qu'un mot de passe commun à plusieurs comptes est piraté, y accéder n'est plus qu'une question de recherche. Étant donné que les noms de compte sont relativement publics, ils sont moins bien protégés que les données de mot de passe. Un peu de travail de recherche inoffensif permettrait alors à quelqu'un d'accéder à la plupart ou à la totalité de votre activité en ligne.

La question ici est toujours "quel est votre modèle de menace?" Il est insensé de poser de telles questions sans un contexte approprié donné par un modèle de menace. La plupart du temps, un nom d'utilisateur différent n'est pas aussi sûr qu'un mot de passe différent. D'autres fois, comme des situations d'espionnage ou d'espionnage ou des situations de contrainte, un nom d'utilisateur différent peut absolument être efficace.

Dans presque tous les cas (au moins 99%, sinon plus), vous constaterez qu'un nom d'utilisateur différent est moins sécurisé qu'un mot de passe différent car les approches de sécurité traditionnelles supposent qu'un nom d'utilisateur n'est pas un secret tandis que le mot de passe est un secret. Cela signifie que toute personne stockant, affichant ou utilisant vos informations d'identification ne parviendra probablement pas à protéger suffisamment les informations importantes.

Comme contre-exemple spécifique à votre réclamation, considérons le cas où un attaquant a compromis un serveur, afin qu'il ait accès à la base de données des paires nom d'utilisateur/mot de passe de plusieurs sites. Disons que tous sont joués par ce qui est considéré comme de "bonnes" règles de sécurité: les mots de passe sont salés et hachés, donc aucun mot de passe en clair n'est disponible. Cependant, les noms d'utilisateur sont disponibles en texte brut (c'est très typique, car il n'y a aucune raison de hacher des données qui ne sont pas un secret). Maintenant, considérez un compromis de l'un de ces serveurs qui donne vos informations d'identification complètes, nom d'utilisateur/mot de passe:

• Si vous avez des mots de passe différents pour chaque serveur, l'attaquant peut déterminer que vous avez des comptes sur les autres serveurs, mais parce que les mots de passe sont toujours salés et hachés, ils gagnent très peu pour attaquer les autres serveurs.
• Si vous avez des noms d'utilisateur différents pour chaque serveur, l'attaquant analyse simplement la liste des utilisateurs, hachant votre mot de passe connu avec le bon sel pour chaque utilisateur jusqu'à ce qu'il trouve une correspondance. Il regarde ensuite la colonne du nom d'utilisateur et a votre nom d'utilisateur "secret". Avec pas plus de quelques minutes de travail, il a accès aux deux comptes.

Remarque: il existe des outils qui vous aideront dans des attaques comme celle-ci, même si vous ne faites que de simples permutations de vos mots de passe pour les garder "uniques". En tant qu'humains, nous ne sommes pas très imprévisibles - nous pouvons penser que nous déplaçons intelligemment nos doigts d'un endroit vers la droite lors de la saisie d'un mot de passe, mais de nombreuses suites de craquage de mots de passe incluent déjà ce changement simple comme l'une des choses pour lesquelles ils testent.

La plupart des gens ne se soucient pas de ce genre de choses et ne sont pas aussi paranoïaques que nous.Ils utilisent donc généralement le même mot de passe (ou des variantes de celui-ci), dans la plupart des services, qu'il s'agisse de leurs comptes bancaires, e-mail, nom d'utilisateur de jeu, nom d'utilisateur de forum, (etc.) vous le nommez) et il en va de même pour les noms d'utilisateur (relatifs à votre question). Cela rend la population générale de notre planète, qui a accès à des cibles faciles à Internet pour les pirates, les entreprises et même leur propre famille/amis, car une fois que vous découvrez un mot de passe ou un nom d'utilisateur, vous pouvez essayer des variantes de celui-ci dans leurs autres services et les poursuites sont les suivantes: vous pourrez trouver un match.

Revenons maintenant à votre question de: "différents noms d'utilisateur" valent-ils autant que "différents mots de passe?

Je le crois. À cette époque où la confidentialité devient de plus en plus difficile à obtenir, car de grandes sociétés telles que Google et Microsoft trouvent de meilleures façons et améliorent leur technologie pour utiliser leurs robots publicitaires pour suivre toutes nos activités et nous lancer des annonces liées à nos activités, la meilleure chose que nous puissions faire est de rendre plus difficile pour eux de nous retrouver. Je crois que cela s'applique également à des fins de sécurité.Si vous utilisez le même nom d'utilisateur sur plusieurs sites Web, il est plus facile pour un pirate ou quiconque de vous retrouver et d'avoir une image complète de toutes vos activités sur Internet, la plupart des gens pensent que ce n'est pas un mauvaise chose mais c'est. Ajoutez également au fait que ce type de phyloshopy consistant à mettre le même nom d'utilisateur facilite également la tâche de vos amis, de votre famille, de vos relations avec vos collègues, découvrez tout ce que vous faites sur Internet par le simple fait que vous n'avez pas été suffisamment prudent pour utiliser différents noms d'utilisateur. Ce qui pourrait conduire à des situations gênantes/embarrassantes, car ces personnes dans votre vie réelle savent où elles peuvent vous trouver dans le monde virtuel.

Par exemple, un pirate peut découvrir votre mot de passe dans le service X que vous utilisez. Il peut également essayer de vérifier si votre mot de passe est le même dans le service Y, car vous utilisez le même nom d'utilisateur dans les deux, même si les mots de passe sont différents, il a peut-être déjà collecté suffisamment d'informations sur vos goûts, vos désirs et votre autre mot de passe pour essayer correspondances similaires. Afin de ne pas avoir à passer par ce fardeau, la meilleure chose que vous puissiez faire est d'utiliser différents noms d'utilisateur, mots de passe et si possible différents e-mails ou alias pour les rendre plus difficiles.

La manière la plus simple de résoudre ce problème est probablement la suivante:

1. Un de vos comptes a son mot de passe cassé pour une raison quelconque (nous pouvons considérer cela comme lu, comme si cela ne se produisait jamais, alors utiliser le même utilisateur/pass partout serait bien aussi, c'est donc notre point de départ).
2. Votre mot de passe difficile à deviner est placé dans un dictionnaire de mots de passe.
3. Votre nom d'utilisateur (généralement non considéré comme secret et rarement comme un secret vital) est essayé avec le dictionnaire de mots de passe, qui contient votre mot de passe.

C'est beaucoup plus facile à retenir qu'un tas de mots de passe sécurisés

Et pourtant, il est encore plus difficile de se souvenir que de ne pas essayer de se souvenir des mots de passe. Néanmoins, vous pourriez éventuellement devoir modifier votre convention de dénomination pour que les noms d'utilisateur correspondent aux politiques de différents services, vous devrez donc utiliser un magasin de mots de passe sécurisé pour en garder la trace. Dans ce cas, pourquoi voudriez-vous continuer à utiliser le même mot de passe?

Il est facile de surestimer à quel point les pirates informatiques sont intéressés à comprendre comment 2 noms d'utilisateur correspondent. Si quelqu'un le veut vraiment, il peut le comprendre, mais la plupart des pirates informatiques ne s'en soucient pas vraiment. Pour eux, les noms d'utilisateur ne sont qu'une partie d'un formulaire de confirmation d'identité en 2 parties, et la seule raison pour laquelle ils s'en soucierait est que cela puisse leur rapporter de l'argent. De toute évidence, une banque serait une cible privilégiée pour une telle chose, quelque chose comme Paypal ou une banque électronique. Si quelqu'un peut obtenir votre nom d'utilisateur de banque et votre mot de passe, il peut voler votre argent.

Pour cette raison, avoir plusieurs noms d'utilisateur à choisir est un bonus. Même s'ils peuvent comprendre votre nom d'utilisateur et votre mot de passe habituels, si vous utilisez un autre nom d'utilisateur et mot de passe pour votre banque, ils doivent recommencer à zéro. REMARQUE: vous devez toujours utiliser un autre mot de passe, mais si votre nom d'utilisateur sur les autres sites que vous utilisez est suffisamment différent de votre nom d'utilisateur de banque, il est peu probable qu'un attaquant établisse une connexion entre les 2.

Différents noms d'utilisateur ne sont qu'un obstacle mineur à défendre contre des attaques ciblées, mais il ne vous défendra pas contre un attaquant qui veut simplement compromettre autant de comptes que possible.

Il est très courant qu'un site demande une adresse e-mail au lieu d'un nom d'utilisateur, cela peut vous poser problème et si vous utilisez des e-mails différents, cela peut être difficile à gérer.

Du point de vue de la sécurité, c'est une bonne idée, et cela peut confondre les pirates qui vous connaissent sur les réseaux sociaux ou tout autre site public et tentent d'utiliser votre même nom d'utilisateur sur les sites bancaires ou Paypal,

cela fait partie d'une façon dont les pirates obtiennent un nom d'utilisateur ou du moins ce qu'ils pensent être un nom d'utilisateur.

en ce qui concerne le cryptage - les mots de passe sont toujours cryptés lors de leur stockage. Le nom d'utilisateur peut ne pas être crypté ou est visible à l'écran, il leur est donc possible de le pirater facilement puis un mot de passe, pour le mot de passe, ils auront besoin d'un algorithme de décryptage même s'ils ont piraté les données.

De toute façon, si vous modifiez l'une des valeurs et que les deux sont cryptés, c'est au même niveau pour le pirate et les deux champs auront la même difficulté pour lui de les retrouver.