Frage:
Verwenden der Google-Suchergebnisse zum Bestimmen der Kennwortstärke
Curious
2015-01-16 18:04:49 UTC
view on stackexchange narkive permalink

Google ist ein Repository für Internetdaten, da es eine enorme Datenmenge indiziert. Kann ein Vorhersagedienst verwendet werden, um den Rest der Suchabfrage zu bestimmen.

Können wir bei einem so großen Repository die Kennwortstärke nutzen?

Können wir Verwenden Sie das Passwort als Suchanfrage, um seine Popularität zu bestimmen? Können wir dem Passwort basierend auf der Anzahl der Treffer, die wir für das Passwort erhalten, eine Punktzahl geben? Ist dieses Modell machbar?

Ich denke, die Passwörter, die beliebt sind, kommen häufiger auf Webseiten oder als Suchanfragen vor. Dies bedeutet nicht, dass seltene Wörter mit geringerer Länge eine starke Punktzahl erhalten. Dies ist aus offensichtlichen Gründen so, dass kleinere Passwörter mit Brute-Force-Suche durchsucht oder in einer begrenzten Zeit abgefragt werden können.

Ich denke, dieses Modell eignet sich gut zur Bestimmung der Stärke längerer Passwörter, die der natürlichen Sprache entsprechen, wie z als Englisch.

Ist dieser Ansatz zur Messung der Passwortstärke trivial? Oder gibt es mit anderen Worten einen einfachen Angriff, wenn ein solches Modell zur Messung der Kennwortstärke verwendet wird?

Hinweis: Wenn bei Google ein Vertrauensproblem vorliegt, gehen Sie davon aus, dass wir unseren eigenen Dienst erstellen können.

Bearbeiten: Untersuchungen ( https://madiba.encs.concordia.ca/~x_decarn/papers/password-meters-ndss2014.pdf) haben gezeigt, dass der größte Teil der Stärke Heute eingesetzte Zähler führen Benutzer beim Erstellen der Kennwörter in die Irre. Können wir mithilfe des Repositorys von Suchmaschinen wie Google die Kennwortstärke genauer messen? Es wird Fehlalarme geben, wie viele betonten, aber ist es nicht besser als vorhandene Stärkemessgeräte?

Ich sehe darin keinen Wert, der über die Verwendung eines Wörterbuchs und die Überprüfung anhand einiger Passwort-Wortlisten hinausgeht. Es wäre eine Menge Mühe, IMO für sehr wenig Nutzen zu gehen.
Es gibt keine gute Wortliste für längere Passwörter. Zum Beispiel "hookthesnowout"
Nun, das ist genau der Punkt. Ist es wichtig, wenn Sie dieselben Wortlisten wie der Angreifer verwenden? Persönlich teste ich anhand einer Handvoll gängiger Passwort-Wortlisten, und wenn dies nicht der Fall ist, bewerte ich diese anhand von Länge und Komplexität.
Woher weiß ich, dass der Angreifer dieselbe Wortliste wie ich besitzt? Ist das nicht mit einem Risiko verbunden?
Auch der Aufwand für die Überprüfung wird nur einmal sein, wenn der Benutzer sein Passwort erstellt. Auch effiziente Datenstrukturen können verwendet werden, um den Aufwand zu sparen.
Das kann man nicht wissen, ohne jede Wortliste der Welt zu haben. Die häufigsten sind jedoch für die häufigsten Angriffe / Versuche verantwortlich. Wenn ich mich auf den Aufwand bezog, meinte ich mehr den Aufwand, das System aufzubauen, insbesondere das Erstellen für sich selbst, da das Senden von Nutzerkennwörtern an Google wahrscheinlich nicht ideal ist. IMO ist der beste Ansatz, nur gute Passwortrichtlinien durchzusetzen und Ihr Risiko zu minimieren. In Kombination mit Sperrzeiten, ordnungsgemäßem Hashing usw. ist die Suche nach Instanzen des Kennworts im gesamten Internet nicht erforderlich.
Welches ist stärker, 2z63hg79fg79 oder tf3m89j67hw396g3qh96g3q8b9? Beide haben die gleiche Anzahl an Google-Treffern.
@PlasmaHH Vielleicht könnte es als Vorfilterkriterium verwendet werden: Passwörter, deren Suchergebnis nicht Null ist, wurden nicht zugelassen (ohne weitere Berechnung).
Ich konnte sehen, dass eine Google-Suche für phrasenbasierte Passwörter nützlich ist, um Passwörter wie "richtige Pferdebatterie", "die dunkle Seite des Mondes", "Wut gegen die Maschine" usw. auszuschließen, die die Leute für starke Passwörter halten, weil sie es sind lang, aber sie sind eigentlich ziemlich häufige Sätze. Google scheint sogar gebräuchliche Phrasen ohne Leerzeichen wie "ilovethesoundofmusic" und "icouldhavehadav8" zu erkennen.
Sobald Sie danach suchen, wird es in der Cloud sein ...
Ich bin damit einverstanden, dass eine Google-Suche kein wahrer Indikator für die Kennwortstärke ist, aber wird sie die Kennwortstärke nicht besser quantifizieren als die heute verwendeten Stärkemessgeräte?
@Curious Aber die Antwort, die Sie erhalten, bezieht sich auf die Stärke des Passworts, bevor Sie es gegoogelt haben. Sie können also sagen: "OK, das war ein Passwort ohne Treffer. Ich hätte es verwenden können, wenn ich es nicht einfach gegoogelt hätte."
@greggo, Ich verstehe die Sicherheitsprobleme aufgrund der Verwendung der Google-Suche. Aber ich möchte wissen, ob das Passwort-Stärkemessgerät auf diese Weise besser implementiert ist als die aktuellen Stärkemessgeräte.
Fünf antworten:
Bob Brown
2015-01-16 19:28:10 UTC
view on stackexchange narkive permalink

Es gibt viele Untersuchungen darüber, welche Passwörter "beliebt" sind. Vieles davon finden Sie hier: https://xato.net/passwords/more-top-worst-passwords/

Sie können nicht wissen, was Google tut mit Fragen. Es ist fast sicher, dass solche Abfragen protokolliert werden und der ursprünglichen IP-Adresse zugeordnet sind. Das würde bedeuten, dass Google eine Liste der von Ihnen getesteten Passwörter hat. Diese Liste kann von einem Google-Mitarbeiter missbraucht werden und einem Durchsuchungsbefehl, einer Vorladung, einer Entdeckung oder einer anderen gesetzlichen Anforderung unterliegen: https://www.aclu.org/blog/technology-and-liberty-national -Sicherheit / wie-privat-Ihr-Online-Suchverlauf

Wenn ich Google wäre, würde ich nach Suchbegriffen suchen, die keine Treffer erzeugen. So schreiben sie die Regeln, nach denen sie ihre Magie entfalten können. Daher werden Google-Forscher wahrscheinlich auf Ihre Praxis aufmerksam.

Um festzustellen, ob es sich um einen einfachen Angriff handelt, versuchen Kennwortangreifer zunächst Wortlisten unterschiedlicher Größe und entscheiden sich dann für Brute Force und Heuristik Anschläge. Kurze Passwörter, die nicht auf einer Liste oder in den Google-Indizes aufgeführt sind, werden brutal angewendet. Längere Passwörter können Heuristiken unterliegen. Ars Technica hat eine Reihe von Artikeln dazu verfasst. Das relevanteste ist hier: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Gib es auf.

Erlauben Sie mir bitte, Bobs zweiten Absatz wie folgt zu vereinfachen: ** Schon das Senden des Klartext-Passworts an einen Dritten (von dem Ihre App annehmen würde, dass es Google ist) macht es zu einem schwachen Passwort **, egal wie stark es zuvor war. Selbst wenn es sich wirklich um Google und nicht um ein MITM handelt und große Unternehmen große Kennwortlisten und Kreditkartennummernlisten auslaufen lassen können, kann Google viel weniger sensible Suchlistenlecks aufweisen.
Joe DeRose
2015-01-17 01:06:54 UTC
view on stackexchange narkive permalink

Es gibt kein Ergebnis für eine Google-Suche für das extrem schwache "pa55w0rd987": https://www.google.com/#newwindow=1&safe=off&q=pa55w0rd987

Außerdem kann Google nur Daten melden, die ihm bekannt sind, und es gibt viele sehr schlechte Kennwörter, die jedoch auf keiner Website angezeigt werden.

Aus diesen Gründen behaupte ich, dass Google kein nützliches Tool zur Überprüfung der Kennwortstärke ist. (Gleiches gilt für Bing und andere Suchsysteme.)

Nun, jetzt gibt es ein Ergebnis: P.
@antony.trupe Schön. Es amüsiert mich immer, wenn SE-Verweise auf Google in zukünftigen Google-Ergebnissen auftauchen. Ich habe tatsächlich einige Programmierfragen gesehen, bei denen eine der Antworten ein Link "Lass mich das für dich googeln" war ... der als erster Treffer direkt auf diese Antwort zurückwies.
Ich bin damit einverstanden, dass eine Google-Suche kein wahrer Indikator für die Kennwortstärke ist. Wird das Schema wie die Google-Suche die Kennwortstärke nicht besser quantifizieren als die heute verwendeten Stärkemessgeräte?
@Joe Wenn das Passwort wirklich falsch ist, wird es höchstwahrscheinlich auf der Liste einer anderen Person angezeigt. Zum Beispiel https://xato.net/passwords/more-top-worst-passwords/
reirab
2015-01-17 01:29:03 UTC
view on stackexchange narkive permalink

Jedes ausreichend sichere Passwort (und viele nicht ausreichend sichere Passwörter) hat bei Google 0 Treffer. Nein, dies ist keine wirklich praktikable Methode. Wenn Ihr Passwort ausschließlich aus englischsprachigen Wörtern besteht, kann es mit einem Wörterbuchangriff leicht brutal erzwungen werden. Wenn ein Passwort überhaupt Google-Treffer enthält, ist es mit ziemlicher Sicherheit nicht ausreichend sicher. Das Fehlen von Google-Treffern bedeutet jedoch nicht, dass es sicher ist.

Außerdem sollten Sie Ihr Passwort im Idealfall niemals über das Internet senden zu irgendjemandem. Und definitiv nicht über eine unverschlüsselte Verbindung. Der richtige Weg, ein Passwort zu übertragen, besteht darin, es zuerst zu hashen, damit selbst die Person, die den Hash erhält, nie weiß, wie das ursprüngliche Passwort lautete. Natürlich gibt es immer noch viele Websites, die nicht den richtigen Weg verwenden, aber das ist eine andere Sache. Ich erschrecke immer, wenn ich mich für ein Konto bei einer Website anmelde, und sie senden mir eine Bestätigungs-E-Mail mit meinem Passwort im Klartext. facepalm

peterh - Reinstate Monica
2015-01-17 06:28:32 UTC
view on stackexchange narkive permalink

Warnung: Es gibt schwerwiegende Sicherheitsprobleme beim Senden von Kennwörtern aus Ihrem direkten Netzwerk, insbesondere an Google. Mach es nur, wenn es für dich kein Problem ist! (Wenn Sie in einem isolierten Sicherheitskontext arbeiten, der sowieso stark von Google abhängig ist!)

@PlasmaHH-Benutzer hat den sehr klaren Kommentar abgegeben: "Was ist stärker, 2z63hg79fg79 oder tf3m89j67hw396g3qh96g3q8b9? Beide haben die gleiche Anzahl an Google-Treffern. "

Was natürlich wahr ist.

Aber: praktisch können Sie das als verwenden Vorfilterkriterien. Alles, was einen Treffer bei Google hat, sollte nicht als Passwort zugelassen werden.

Die Stärke der Passwörter, die seinen Test bestanden haben, kann bald durch eine relativ einfache entropiebasierte Untersuchung gemessen werden oder durch eine minimale Levenshtein-Entfernungsberechnung durch die Wikipedia-Artikeltitel ( hier ist meine Idee zu diesem Thema).

Downvote, weil das Senden des Passworts an Google es in erster Linie schwach macht (jetzt weiß es Google, jeder, der Google beobachtet, weiß es und jeder, der Zugriff auf Suchanfragen in Google Stores hat, weiß es). Das Senden des Klartextkennworts eines Benutzers an einen dritten Teil (von dem Ihre App annimmt, dass es sich um Google handelt) ist eine schreckliche Idee, verstößt möglicherweise gegen Datenschutzrichtlinien, verstößt wahrscheinlich gegen die Erwartung des Benutzers, wie Sie seine Kennwörter schützen sollen, und verstößt definitiv gegen vernünftige Kenntnisse im Umgang mit Kennwörtern.
@Anti-weakpasswords Sie haben in den meisten Fällen Recht (ich habe auch nie Passwörter an Google gesendet), aber nicht immer. Das einfachste Beispiel dafür, wenn wir uns in einem isolierten Sicherheitskontext befinden, der bald stark von Google abhängig ist. Ich habe zu Beginn meiner Antwort eine ernsthafte Warnung dazu eingefügt. Vielleicht war es genug für einen Stimmenwechsel?
Vielen Dank; Downvote entfernt; Zwischen der Warnung und meinen Kommentaren werde ich diese ausreichende Warnung nennen, dass es eine schreckliche Idee ist, während Sie die Frage beantwortet haben.
Die Warnung, dass das Kennwort an einen Dienst gesendet werden soll, der nicht explizit für die Verarbeitung von Kennwörtern ausgelegt ist, wäre eine positive Bewertung wert. Dies bedeutet jedoch, dass das Senden an Google ein größeres Sicherheitsrisiko darstellt als alle anderen Dienste, die nicht für die Verarbeitung von Kennwörtern ausgelegt sind eine Gegenstimme. Insgesamt konnte ich für diese Antwort also nicht so oder so stimmen.
The Spooniest
2015-01-17 21:42:36 UTC
view on stackexchange narkive permalink

Die Ergebnisse eines Passworts bei einer Google-Suche für sich selbst sind nicht sehr bezeichnend für seine Stärke. Andere haben bereits Beispiele für Passwörter mit geringer Stärke angegeben, die keine Treffer haben.

Trotzdem frage ich mich, ob eine Google-Suche nach dem Benutzernamen (oder nach einem echten Namen, falls bekannt) eine gute Idee sein könnte. Wörter, die auf den ersten drei Ergebnisseiten häufiger als ein Schwellenwert vorkommen, können als möglicherweise leicht zu erraten zurückgewiesen werden. Die Ergebnisse wären bis zu einem gewissen Grad auf jeden Benutzer zugeschnitten, aber dies könnte eine interessante Verteidigung gegen einen Angreifer etwas entschlossener machen als es typisch ist.

Ich bin damit einverstanden, dass eine Google-Suche kein wahrer Indikator für die Kennwortstärke ist, aber wird sie die Kennwortstärke nicht besser quantifizieren als die heute verwendeten Stärkemessgeräte?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...