Wenn eines Ihrer Passwörter kompromittiert wird, bedeutet dies automatisch, dass auch Ihre anderen Passwörter kompromittiert werden? Es spielen zwar einige Variablen eine Rolle, aber die Frage ist ein interessanter Blick darauf, was ein Passwort angreifbar macht und was Sie tun können, um sich selbst zu schützen.
Die Frage
SuperUser-Leser Michael McGowan ist neugierig, wie weitreichend die Auswirkungen einer einzelnen Passwortverletzung sind; er schreibt:
Angenommen, ein Benutzer verwendet ein sicheres Passwort auf Site A und ein anderes, aber ähnliches sicheres Passwort auf Site B. Vielleicht so etwas wie mySecure12#PasswordA
vor Ort A und mySecure12#PasswordB
auf Standort B (Sie können gerne eine andere Definition von „Ähnlichkeit“ verwenden, wenn dies sinnvoll ist).
Angenommen, das Passwort für Site A ist irgendwie kompromittiert … vielleicht ein böswilliger Mitarbeiter von Site A oder ein Sicherheitsleck. Bedeutet dies, dass auch das Passwort von Site B effektiv kompromittiert wurde oder gibt es in diesem Zusammenhang keine „Passwortähnlichkeit“? Macht es einen Unterschied, ob die Kompromittierung auf Site A ein Klartext-Leak oder eine gehashte Version war?
Sollte Michael sich Sorgen machen, wenn seine hypothetische Situation eintrifft?
Die Antwort
SuperUser-Mitwirkende halfen bei der Klärung des Problems für Michael. Superuser-Mitwirkender Queso schreibt:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext- oder Hash-Daten wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash völlig anders. Der einzige Weg, wie ein Angreifer das Passwort erfahren kann, besteht darin, den Hash mit Brute-Force-Verfahren zu erzwingen (nicht unmöglich, insbesondere wenn der Hash ungesalzen ist. siehe Regenbogentische).
Was die Ähnlichkeitsfrage angeht, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und ich weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder dergleichen verwenden, kann ich dieselben Konventionen für Passwörter auf den von Ihnen verwendeten Websites ausprobieren.
Wenn ich als Angreifer alternativ in den oben angegebenen Passwörtern ein offensichtliches Muster sehe, mit dem ich einen Site-spezifischen Teil des Passworts vom allgemeinen Passwortteil trennen kann, werde ich diesen Teil eines benutzerdefinierten Passwortangriffs definitiv anpassen für dich.
Angenommen, Sie haben ein supersicheres Passwort wie 58htg%HF!c. Um dieses Passwort auf verschiedenen Sites zu verwenden, fügen Sie am Anfang ein Site-spezifisches Element hinzu, sodass Sie Passwörter wie: facebook58htg%HF!c, wellsfargo58htg%HF!c oder gmail58htg%HF!c haben Hacken Sie Ihr Facebook und erhalten Sie facebook58htg%HF!c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Passworts sehen?
Ein anderer Superuser-Mitwirkender, Michael Trausch, erklärt, dass die hypothetische Situation in den meisten Situationen kein Grund zur Besorgnis ist:
Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext- oder Hash-Daten wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, ist der gesamte Hash völlig anders. Der einzige Weg, wie ein Angreifer das Passwort erfahren kann, besteht darin, den Hash mit Brute-Force-Verfahren zu erzwingen (nicht unmöglich, insbesondere wenn der Hash ungesalzen ist. siehe Regenbogentische).
Was die Ähnlichkeitsfrage angeht, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und ich weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder dergleichen verwenden, kann ich dieselben Konventionen für Passwörter auf den von Ihnen verwendeten Websites ausprobieren.
Wenn ich als Angreifer alternativ in den oben angegebenen Passwörtern ein offensichtliches Muster sehe, mit dem ich einen Site-spezifischen Teil des Passworts vom allgemeinen Passwortteil trennen kann, werde ich diesen Teil eines benutzerdefinierten Passwortangriffs definitiv anpassen für dich.
Angenommen, Sie haben ein supersicheres Passwort wie 58htg%HF!c. Um dieses Passwort auf verschiedenen Sites zu verwenden, fügen Sie am Anfang ein Site-spezifisches Element hinzu, sodass Sie Passwörter wie: facebook58htg%HF!c, wellsfargo58htg%HF!c oder gmail58htg%HF!c haben Hacken Sie Ihr Facebook und erhalten Sie facebook58htg%HF!c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die Sie möglicherweise verwenden.
Es kommt alles auf Muster an. Wird der Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Passworts sehen?
Wenn Sie befürchten, dass Ihre aktuelle Passwortliste nicht vielfältig und zufällig genug ist, empfehlen wir Ihnen dringend, unseren umfassenden Leitfaden zur Passwortsicherheit zu lesen: So stellen Sie Ihr E-Mail-Passwort kompromittiert wieder her. Indem Sie Ihre Passwortlisten so überarbeiten, als ob die Mutter aller Passwörter, Ihr E-Mail-Passwort, kompromittiert wäre, können Sie Ihr Passwort-Portfolio schnell auf den neuesten Stand bringen.
Möchten Sie der Erklärung noch etwas hinzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Sehen Sie sich hier den vollständigen Diskussionsthread an.