L'analyse du Big Data signifie que vos différents noms d'utilisateur ne sont probablement pas aussi dissociés les uns des autres que vous le pensez. En d'autres termes, ils sont probablement tous identifiables comme les vôtres.

Mais peut-être que le plus gros problème est que si votre mot de passe est compromis lors d'une attaque, il devient alors partie d'une base de données de mots de passe que les attaquants peuvent utiliser contre d'autres mots de passe bases de données. Indépendamment de vos noms d'utilisateur, ils vont encore (potentiellement) compromettre vos autres comptes simplement parce qu'ils ont déjà votre mot de passe commun dans leur base de données.

Les vecteurs d'attaque plus récents utilisent davantage les techniques heuristiques, et des choses comme les tables arc-en-ciel moins, mais considérez toujours que si une approche heuristique a cassé votre mot de passe (et que les leçons apprises ont été réinjectées dans les algorithmes de craquage de mot de passe), alors il va casser le même mot de passe partout où vous l'avez utilisé.

Il vaut toujours mieux utiliser des mots de passe uniques pour chaque service, IMO.

si j'utilise des noms de compte différents dans chaque service, puis-je utiliser le même mot de passe difficile à déchiffrer dans chacun d'eux?

Si les noms de compte peuvent être associés à la même personne (c'est-à-dire des forums différents, le même style d'écriture, un contenu similaire, etc.), peu importe si les noms sont différents. Et, contrairement au texte brut ou au mot de passe haché, les noms d'utilisateur sont souvent affichés aux autres utilisateurs.

Je pense que le piratage de mot de passe intersite, a-la-xkcd, est effectué par une machine, pas une personne.

Cela dépend des objectifs de l'attaquant. Si l'objectif est de compromettre autant de comptes que possible, vous avez peut-être raison. Si l’objectif est de voler l’identité d’une personne en particulier, peu importe si cette personne utilise des noms d’utilisateur différents, tant que ceux-ci peuvent être associés à la même personne.

Vous ne devriez vraiment pas. La raison pour laquelle? Une fois qu'un mot de passe commun à plusieurs comptes est piraté, il suffit de les trouver pour y accéder. Les noms de compte étant relativement publics, ils sont moins bien protégés que les données de mot de passe. Un peu de travail de recherche inoffensif permettrait alors à quelqu'un d'accéder à la plupart ou à la totalité de votre activité en ligne.

Les gens les plus communs ne se soucient pas et ne sont pas aussi paranoïaques que nous à propos de ce genre de choses, ils utilisent donc généralement le même mot de passe (ou des variantes de celui-ci), dans la plupart des services, qu'il s'agisse de leurs comptes bancaires, e-mail, nom d'utilisateur du jeu, nom d'utilisateur du forum , (etc. vous le nommez) et il en va de même pour les noms d'utilisateur (relatifs à votre question). Cela rend la population générale de notre planète, qui a accès à Internet, des cibles faciles pour les pirates informatiques, les entreprises et même leur propre famille / amis, car une fois que vous découvrez un mot de passe ou un nom d'utilisateur, vous pouvez en essayer des variantes dans leurs autres services et les chaces sont que vous pourrez trouver une correspondance.

Revenons maintenant à votre question: "différents noms d'utilisateur" sont-ils aussi bons que "différents mots de passe?

Je pense que oui. À cette époque où la confidentialité devient de plus en plus difficile à obtenir alors que les grandes entreprises telles que Google et Microsoft trouvent de meilleurs moyens et améliorent leur technologie pour utiliser leurs robots publicitaires pour suivre toutes nos activités et nous lancer des publicités liées à nos activités, la meilleure chose que nous pouvons faire est de rendre plus difficile pour eux de nous retrouver. Je pense que cela s'applique également à des fins de sécurité, si vous utilisez le même nom d'utilisateur sur plusieurs sites Web, il est plus facile pour un pirate informatique ou quiconque de vous retrouver et d'avoir une image complète de toutes vos activités sur Internet, la plupart des gens pensent que ce n'est pas un mauvaise chose mais ça l'est. Ajoutez également au fait que ce genre de phyloshopie de mettre le même nom d'utilisateur permet également à vos amis, votre famille, vos collègues de découvrir plus facilement tout ce que vous faites sur Internet par le simple fait que vous n'étiez pas assez prudent pour utiliser des noms d'utilisateur différents. Cela peut conduire à des situations ennuyeuses / embarrassantes, car ces personnes dans votre vie réelle savent où elles peuvent vous trouver dans le monde virtuel.

Par exemple, un hacker peut découvrir votre mot de passe dans le service X que vous utilisez. Il pourrait également essayer de vérifier si votre mot de passe est le même dans le service Y, puisque vous utilisez le même nom d'utilisateur dans les deux, même si les mots de passe sont différents, il a peut-être déjà collecté suffisamment d'informations sur vos goûts, vos désirs et votre autre mot de passe pour essayer correspondances similaires. Afin de ne pas avoir à subir ce fardeau, la meilleure chose que vous puissiez faire est d'utiliser différents usenrames, mots de passe et si possible différents e-mails ou alias pour rendre la tâche plus difficile pour eux.

Le moyen le plus simple de briser cela est probablement le suivant:

1. Un de vos comptes a son mot de passe cassé pour une raison quelconque (nous pouvons prendre cela comme lu, comme si cela ne se produisait jamais alors utiliser le même utilisateur / mot de passe partout serait également très bien, c'est donc notre point de départ).
2. Votre mot de passe difficile à deviner est mis dans un dictionnaire de mots de passe.
3. Votre (pas généralement considéré comme secret, et rarement comme un secret vital) le nom d'utilisateur est essayé avec le dictionnaire de mots de passe, qui contient votre mot de passe.

C'est beaucoup plus facile à retenir qu'un tas de mots de passe sécurisés

Et pourtant encore plus difficile à retenir que de ne pas essayer de se souvenir des mots de passe. Néanmoins, vous pourriez éventuellement devoir contourner votre convention de dénomination pour que les noms d'utilisateur correspondent aux politiques de différents services, vous devrez donc utiliser un magasin de mots de passe sécurisé pour les suivre. Dans quel cas, pourquoi continueriez-vous d'utiliser le même mot de passe?

La question ici est toujours " quel est votre modèle de menace? ". Il est insensé de poser de telles questions sans un contexte approprié donné par un modèle de menace. La plupart du temps, un nom d'utilisateur différent n'est pas aussi sûr qu'un mot de passe différent. D'autres fois, comme les situations d'espionnage ou d'espionnage ou les situations de contrainte, un nom d'utilisateur différent peut absolument être efficace.

Dans presque tous les cas (au moins 99%, sinon plus), vous trouverez un nom d'utilisateur différent est moins sûr qu'un mot de passe différent car les approches de sécurité traditionnelles supposent qu'un nom d'utilisateur n'est pas un secret alors que le mot de passe est un secret. Cela signifie que toute personne stockant, affichant ou utilisant vos informations d'identification ne parviendra probablement pas à protéger suffisamment les informations importantes.

Comme contre-exemple spécifique à votre réclamation, considérez le cas où un attaquant a compromis un serveur, il a donc accès à la base de données des paires nom d'utilisateur / mot de passe de plusieurs sites. Disons qu'ils sont tous joués par ce qui est considéré comme de «bonnes» règles de sécurité: les mots de passe sont salés et hachés, donc aucun mot de passe en clair n'est disponible. Cependant, les noms d'utilisateur sont disponibles en texte brut (c'est très typique, car il n'y a aucune raison de hacher des données qui ne sont pas un secret). Maintenant, considérez un compromis de l'un de ces serveurs qui donne vos informations d'identification complètes, nom d'utilisateur / mot de passe:

• Si vous avez des mots de passe différents pour chaque serveur, l'attaquant peut déterminer que vous avez des comptes sur l'autre serveurs, mais comme les mots de passe sont toujours salés et hachés, ils gagnent très peu à attaquer les autres serveurs.
• Si vous avez des noms d'utilisateurs différents pour chaque serveur, l'attaquant parcourt simplement la liste des utilisateurs, hachant votre mot de passe connu avec le sel correct pour chaque utilisateur jusqu'à ce qu'il trouve une correspondance. Il regarde ensuite la colonne du nom d'utilisateur et a votre nom d'utilisateur "secret". Avec pas plus de quelques minutes de travail, il a accès aux deux comptes.

En guise de remarque: il existe des outils qui vous aideront avec de telles attaques, même si vous faites simplement de simples permutations de vos mots de passe pour les garder "uniques". En tant qu'humains, nous ne sommes pas très imprévisibles - nous pouvons penser que nous sommes intelligents en déplaçant nos doigts d'un endroit vers la droite lors de la saisie d'un mot de passe, mais de nombreuses suites de craquage de mots de passe incluent déjà ce simple changement comme l'une des choses qu'ils testent.

Il est facile de surestimer à quel point les pirates sont intéressés à trouver la place de deux noms d'utilisateur. Si quelqu'un le veut vraiment, il peut le comprendre, mais la plupart des pirates ne s'en soucient pas vraiment. Pour eux, les noms d'utilisateur ne sont qu'une partie d'un formulaire de confirmation d'identité en deux parties, et la seule raison pour laquelle ils se soucieraient de cela est si cela peut leur rapporter de l'argent. De toute évidence, une banque serait une cible de choix pour une telle chose, quelque chose comme Paypal ou une banque électronique. Si quelqu'un peut obtenir votre nom d'utilisateur bancaire et votre mot de passe, il peut voler votre argent.

Pour cette raison, avoir plusieurs noms d'utilisateur à choisir est un bonus. Même s'ils peuvent déterminer votre nom d'utilisateur et votre mot de passe habituels, si vous utilisez un autre nom d'utilisateur et un autre mot de passe pour votre banque, ils doivent recommencer à zéro. Notez que vous devez toujours utiliser un autre mot de passe, mais si votre nom d'utilisateur sur les autres sites que vous utilisez est suffisamment différent de votre nom d'utilisateur bancaire, il est peu probable qu'un attaquant établisse une connexion entre les 2.

Des noms d'utilisateur différents sont juste un obstacle mineur à défendre contre des attaques ciblées, mais il ne vous défendra pas contre un attaquant qui veut juste compromettre autant de comptes que possible.

Il est très courant pour un site de demander une adresse e-mail au lieu d'un nom d'utilisateur, ce qui peut vous poser problème, et si vous utilisez une adresse e-mail différente qui peut être difficile à gérer.

Du point de sécurité de vue c'est une bonne idée, et cela peut dérouter les pirates qui vous connaissent sur les réseaux sociaux ou tout autre site public et essaient d'utiliser votre même nom d'utilisateur sur des sites bancaires ou paypal,

cela fait partie d'un la façon dont les pirates obtiennent le nom d'utilisateur ou du moins ce qu'ils pensent être le nom d'utilisateur.

en ce qui concerne le cryptage - le mot de passe est toujours crypté lors de leur stockage.L'utilisateur peut ne pas être crypté ou être visible à l'écran, donc il est possible pour eux de le pirater facilement, puis mot de passe, pour le mot de passe, ils auront besoin d'un algorithme de décryptage même s'ils ont piraté les données.

De toute façon, si vous modifiez l'une des valeurs et que les deux sont cryptées, c'est à même niveau pour le hacker et les deux champs auront la même difficulté à traquer.