Wenn eines meiner Passwörter gefährdet ist, sind auch meine anderen Passwörter gefährdet?
Wenn eines Ihrer Passwörter gefährdet ist, bedeutet dies automatisch, dass auch Ihre anderen Passwörter gefährdet sind? Zwar gibt es einige Variablen, aber die Frage ist ein interessanter Blick darauf, was ein Passwort anfällig macht und was Sie tun können, um sich selbst zu schützen.
Die heutige Question & Answer-Sitzung wird von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-Gruppe von Q & A-Websites.
Die Frage
Superuser-Leser Michael McGowan ist neugierig, wie weitreichend die Auswirkung einer einzigen Passwortverletzung ist. er schreibt:
Angenommen, ein Benutzer verwendet ein sicheres Kennwort an Standort A und ein anderes, aber ähnliches sicheres Kennwort an Ort B. Vielleicht etwas ähnliches
mySecure12 # PasswordA
vor Ort A undmySecure12 # PasswordB
vor Ort B (verwenden Sie eine andere Definition von "Ähnlichkeit", wenn dies sinnvoll ist).Nehmen Sie dann an, dass das Kennwort für Site A irgendwie gefährdet ist. Möglicherweise ein böswilliger Mitarbeiter von Site A oder ein Sicherheitslücken. Bedeutet dies, dass das Passwort von Site B auch tatsächlich gefährdet wurde, oder gibt es in diesem Zusammenhang keine "Passwortähnlichkeit"? Macht es einen Unterschied, ob der Kompromiss auf Site A ein Klartextleck oder eine Hash-Version war??
Sollte Michael sich Sorgen machen, wenn seine hypothetische Situation eintritt?
Die Antwort
SuperUser-Mitwirkende halfen bei der Lösung des Problems für Michael. Superbenutzer Queso schreibt:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext vs. Hashing wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, unterscheidet sich der gesamte Hash vollständig. Ein Angreifer kann das Kennwort nur auf eine brutale Art und Weise erzwingen (nicht unmöglich, insbesondere wenn der Hash nicht gesalzen ist. Siehe Regenbogentabellen)..
Was die Ähnlichkeitsfrage anbelangt, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Sites versuchen.
Wenn ich als Angreifer ein offensichtliches Muster sehe, das ich verwenden kann, um einen ortsspezifischen Teil des Kennworts vom generischen Kennwortteil zu trennen, werde ich den Teil eines benutzerdefinierten Kennwortangriffs auf jeden Fall maßgeschneidert machen für dich.
Angenommen, Sie haben ein sehr sicheres Passwort wie 58htg% HF! C. Um dieses Kennwort auf verschiedenen Websites zu verwenden, fügen Sie am Anfang ein ortsspezifisches Element hinzu, sodass Sie Kennwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben. Sie können darauf wetten, dass ich hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die ich finde, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird dem Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Kennworts angezeigt?
Ein anderer Superuser-Mitwirkender, Michael Trausch, erklärt, dass die hypothetische Situation in den meisten Situationen kein Grund zur Besorgnis ist:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext vs. Hashing wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, unterscheidet sich der gesamte Hash vollständig. Ein Angreifer kann das Kennwort nur auf eine brutale Art und Weise erzwingen (nicht unmöglich, insbesondere wenn der Hash nicht gesalzen ist. Siehe Regenbogentabellen)..
Was die Ähnlichkeitsfrage anbelangt, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Sites versuchen.
Wenn ich als Angreifer ein offensichtliches Muster sehe, das ich verwenden kann, um einen ortsspezifischen Teil des Kennworts vom generischen Kennwortteil zu trennen, werde ich den Teil eines benutzerdefinierten Kennwortangriffs auf jeden Fall maßgeschneidert machen für dich.
Angenommen, Sie haben ein sehr sicheres Passwort wie 58htg% HF! C. Um dieses Kennwort auf verschiedenen Websites zu verwenden, fügen Sie am Anfang ein ortsspezifisches Element hinzu, sodass Sie Kennwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben. Sie können darauf wetten, dass ich hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die ich finde, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird dem Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Kennworts angezeigt?
Wenn Sie befürchten, dass Ihre aktuelle Kennwortliste nicht uneinheitlich und zufällig genug ist, empfehlen wir Ihnen dringend, unseren umfassenden Leitfaden zur Sicherheit von Kennwörtern zu lesen: Vorgehensweise beim Wiederherstellen, nachdem Ihr E-Mail-Kennwort beeinträchtigt wurde. Durch die Überarbeitung Ihrer Kennwortlisten, als ob die Mutter aller Kennwörter, Ihr E-Mail-Kennwort, gefährdet wurde, können Sie Ihr Kennwort-Portfolio schnell auf den neuesten Stand bringen.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.