20Aug
Wenn eines Ihrer Passwörter kompromittiert ist, bedeutet das automatisch, dass auch Ihre anderen Passwörter kompromittiert sind? Während einige Variablen im Spiel sind, ist die Frage ein interessanter Blick darauf, was ein Passwort angreifbar macht und was Sie tun können, um sich selbst zu schützen.
Die heutige Frage &Die Antwort-Sitzung kommt dank SuperUser zustande - einer Unterteilung von Stack Exchange, einer Community-Drive-Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Michael McGowan ist neugierig, wie weit die Auswirkungen einer einzelnen Passwortverletzung reichen;er schreibt:
Angenommen, ein Benutzer verwendet ein sicheres Passwort auf der Site A und ein anderes, aber ähnliches sicheres Passwort auf der Site B. Vielleicht etwas wie mySecure12 # PasswordA auf der Site A und mySecure12 # PasswordB auf der Site B( zögern Sie nicht, eine andere Definition von"Ähnlichkeit", wenn es Sinn macht).
Angenommen, das Passwort für Site A ist irgendwie kompromittiert. .. vielleicht ein böswilliger Mitarbeiter von Site A oder ein Sicherheitsleck. Bedeutet dies, dass auch das Passwort von Site B effektiv kompromittiert wurde, oder gibt es in diesem Zusammenhang keine "Passwortähnlichkeit"?Macht es einen Unterschied, ob der Kompromiss auf der Baustelle A ein Klartext-Leck oder eine Hash-Version war?
Sollte sich Michael Sorgen machen, wenn seine hypothetische Situation eintritt?
Die Antwort-
SuperUser-Mitwirkenden halfen, das Problem für Michael zu klären. Superuser-Mitwirkender Queso schreibt:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offenbarten Daten Klartext vs. Hashed wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash vollständig unterschiedlich. Der einzige Weg, wie ein Angreifer das Passwort kennt, ist, den Hash brutal zu erzwingen( nicht unmöglich, besonders wenn der Hash ungesalzen ist. Siehe Rainbow-Tabellen).
Was die Ähnlichkeitsfrage angeht, hängt es davon ab, was der Angreifer von Ihnen weiß.Wenn ich Ihr Passwort auf der Website A erhalte und wenn ich weiß, dass Sie bestimmte Muster zum Erstellen von Nutzernamen oder Ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Websites ausprobieren.
Wenn ich als Angreifer ein offensichtliches Muster erkenne, das ich verwenden kann, um einen sitespezifischen Teil des Passworts von dem allgemeinen Passwortteil zu trennen, werde ich in den Passwörtern, die Sie oben geben, diesen Teil eines benutzerdefinierten Passwortangriffs machenauf dich zugeschnitten.
Als Beispiel, sagen Sie, Sie haben ein super sicheres Passwort wie 58htg% HF! C.Um dieses Passwort auf verschiedenen Seiten zu verwenden, fügen Sie am Anfang ein sitespezifisches Element hinzu, so dass Sie Passwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben, können Sie wetten, wenn ichhacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und es auf anderen Seiten verwenden, die ich benutze.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im standortspezifischen Teil und generischen Teil Ihres Passworts sehen?
Ein anderer Superuser-Mitwirkender, Michael Trausch, erklärt, wie die hypothetische Situation in den meisten Situationen nicht besonders besorgniserregend ist:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offenbarten Daten Klartext vs. Hashed wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash vollständig unterschiedlich. Der einzige Weg, wie ein Angreifer das Passwort kennt, ist, den Hash brutal zu erzwingen( nicht unmöglich, besonders wenn der Hash ungesalzen ist. Siehe Rainbow-Tabellen).
Was die Ähnlichkeitsfrage betrifft, hängt es davon ab, was der Angreifer von Ihnen weiß.Wenn ich Ihr Passwort auf der Website A erhalte und wenn ich weiß, dass Sie bestimmte Muster zum Erstellen von Nutzernamen oder Ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Websites ausprobieren.
Wenn ich als Angreifer ein offensichtliches Muster sehe, das ich verwenden kann, um einen sitespezifischen Teil des Passworts von dem generischen Teil des Passworts zu trennen, werde ich in den Passwörtern, die Sie oben angeben, diesen Teil eines benutzerdefinierten Passwortangriffs machenauf dich zugeschnitten.
Als ein Beispiel, sagen Sie, Sie haben ein super sicheres Passwort wie 58htg% HF! C.Um dieses Passwort auf verschiedenen Seiten zu verwenden, fügen Sie am Anfang ein sitespezifisches Element hinzu, so dass Sie Passwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben, können Sie wetten, wenn ichhacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und es auf anderen Seiten verwenden, die ich benutze.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im standortspezifischen Teil und generischen Teil Ihres Passworts sehen?
Wenn Sie Bedenken haben, dass Ihre aktuelle Passwortliste nicht verschiedenartig und zufällig genug ist, empfehlen wir Ihnen, unseren umfassenden Passwortsicherheitsleitfaden zu lesen: Wie Sie nach dem Verlust Ihres E-Mail-Passworts wiederherstellen können. Durch die Überarbeitung Ihrer Passwortlisten, als ob die Mutter aller Passwörter, Ihr E-Mail-Passwort, kompromittiert wurde, ist es einfach, Ihr Passwort-Portfolio schnell auf den neuesten Stand zu bringen.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.
