Wenn eines Ihrer Passwörter kompromittiert wird, bedeutet dies automatisch, dass auch Ihre anderen Passwörter kompromittiert werden? Obwohl einige Variablen im Spiel sind, ist die Frage ein interessanter Blick darauf, was ein Passwort anfällig macht und was Sie tun können, um sich zu schützen.
Die heutige Frage-Antwort-Sitzung wird uns mit freundlicher Genehmigung von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-Drive-Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Michael McGowan ist neugierig, wie weit die Auswirkungen einer einzelnen Kennwortverletzung reichen. er schreibt:
Angenommen, ein Benutzer verwendet ein sicheres Kennwort an Standort A und ein anderes, aber ähnliches sicheres Kennwort an Standort B. Vielleicht so etwas
mySecure12 # PasswordAvor Ort A undmySecure12 # PasswordBauf Seite B (verwenden Sie eine andere Definition von „Ähnlichkeit“, wenn dies sinnvoll ist).Angenommen, das Kennwort für Site A ist irgendwie kompromittiert… möglicherweise ein böswilliger Mitarbeiter von Site A oder ein Sicherheitsleck. Bedeutet dies, dass das Passwort von Site B ebenfalls effektiv kompromittiert wurde, oder gibt es in diesem Zusammenhang keine „Passwortähnlichkeit“? Macht es einen Unterschied, ob der Kompromiss auf Site A ein Klartextleck oder eine Hash-Version war?
Sollte Michael sich Sorgen machen, wenn seine hypothetische Situation eintrifft?
Die Antwort
SuperUser-Mitarbeiter haben Michael dabei geholfen, das Problem zu lösen. Superuser-Mitarbeiter Queso schreibt:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext oder Hash wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash völlig anders. Der einzige Weg, wie ein Angreifer das Passwort kennen würde, besteht darin, den Hash brutal zu erzwingen (nicht unmöglich, insbesondere wenn der Hash ungesalzen ist Regenbogentische ).
Was die Ähnlichkeitsfrage betrifft, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder Ähnlichem verwenden, kann ich dieselben Konventionen für Passwörter auf von Ihnen verwendeten Sites ausprobieren.
Wenn ich als Angreifer in den oben angegebenen Passwörtern ein offensichtliches Muster sehe, mit dem ich einen ortsspezifischen Teil des Passworts vom generischen Passwortteil trennen kann, werde ich diesen Teil eines benutzerdefinierten Passwortangriffs definitiv maßgeschneidert machen für dich.
Angenommen, Sie haben ein supersicheres Passwort wie 58htg% HF! C. Um dieses Passwort auf verschiedenen Sites zu verwenden, fügen Sie am Anfang ein Site-spezifisches Element hinzu, sodass Sie Passwörter haben wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C. Sie können wetten, wenn ich Hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und es auf anderen Websites verwenden, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im ortsspezifischen Teil und im generischen Teil Ihres Passworts sehen?
Ein anderer Superuser-Mitarbeiter, Michael Trausch, erklärt, dass die hypothetische Situation in den meisten Situationen kein Grund zur Sorge ist:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext oder Hash wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash völlig anders. Der einzige Weg, wie ein Angreifer das Passwort kennen würde, besteht darin, den Hash brutal zu erzwingen (nicht unmöglich, insbesondere wenn der Hash ungesalzen ist Regenbogentische ).
Was die Ähnlichkeitsfrage betrifft, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder Ähnlichem verwenden, kann ich dieselben Konventionen für Passwörter auf von Ihnen verwendeten Sites ausprobieren.
Wenn ich als Angreifer in den oben angegebenen Passwörtern ein offensichtliches Muster sehe, mit dem ich einen ortsspezifischen Teil des Passworts vom generischen Passwortteil trennen kann, werde ich diesen Teil eines benutzerdefinierten Passwortangriffs definitiv maßgeschneidert machen für dich.
Angenommen, Sie haben ein supersicheres Passwort wie 58htg% HF! C. Um dieses Passwort auf verschiedenen Sites zu verwenden, fügen Sie am Anfang ein Site-spezifisches Element hinzu, sodass Sie Passwörter haben wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C. Sie können wetten, wenn ich Hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und es auf anderen Websites verwenden, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im ortsspezifischen Teil und im generischen Teil Ihres Passworts sehen?
Wenn Sie befürchten, dass Ihre aktuelle Passwortliste nicht vielfältig und zufällig genug ist, empfehlen wir Ihnen dringend, unseren umfassenden Leitfaden zur Passwortsicherheit zu lesen: Wiederherstellen, nachdem Ihr E-Mail-Passwort kompromittiert wurde . Wenn Sie Ihre Passwortlisten so überarbeiten, als ob die Mutter aller Passwörter, Ihr E-Mail-Passwort, kompromittiert worden wäre, können Sie Ihr Passwortportfolio schnell und einfach auf den neuesten Stand bringen.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier .
