Frage:
Benötigen wir wirklich ein langes und kompliziertes Passwort für Websites?
drpexe
2014-11-05 18:16:06 UTC
view on stackexchange narkive permalink

Die meisten Websites, die wichtige Informationen verarbeiten (z. B. Google Mail), verfügen über einen Brute-Force-Schutz. Wenn Sie mehr als das X-fache versuchen, wird das Konto manchmal gesperrt oder Sie erhalten zumindest ein zu lösendes Captcha.

Derzeit sagen alle Sicherheitsexperten immer wieder dasselbe: Erstellen Sie lange, gemischte Zeichen und Passwörter mit hoher Entropie . Dies ist sehr sinnvoll, wenn Sie über einen RSA-Schlüssel nachdenken oder über etwas, das offline entschlüsselt werden könnte. Ist es jedoch wirklich wichtig, wenn wir über Kennwörter für Online-Konten sprechen?

Zum Beispiel erstellen wir ein Kennwort für Google Mail mit nur 6 Buchstaben aus dem englischen Alphabet. Dies sind ungefähr 26 ^ 6 = 309 Millionen Kombinationen. Wenn wir davon ausgehen, dass wir 1 Passwort pro Sekunde testen können (was meiner Meinung nach schneller ist als wir es tatsächlich können, wenn Sie die Google Mail-Captchas berücksichtigen), benötigen wir bis zu 10 Jahre, um zu brechen, und durchschnittlich 5 Jahre. P. >

Zu berücksichtigende Punkte:

  • Wenn Sie dasselbe Passwort auf einer anderen Website verwenden, kann eine andere Website gehackt und Ihr Passwort offengelegt werden. Ich gehe davon aus, dass das Passwort eindeutig ist. Wird nur mit Google Mail verwendet.
  • Wenn jemand die Datenbank abrufen kann, kann er den Hash Ihres Kennworts brutal offline erzwingen. Ich gehe davon aus, dass die Website mindestens einen gesalzenen Hash verwendet (sehr unwahrscheinlich, dass der Hacker versucht, alle Passwörter zu knacken) und / oder sehr unwahrscheinlich ist, dass die Datenbank gehackt wird (dies ist eine faire Annahme bei Google Mail).
  • Ich gehe auch davon aus, dass Ihr Passwort kein Wörterbuchwort oder etwas leicht zu erratendes ist. Dies sollte Brute Force für mehrere Konten ausschließen (z. B. das Testen des gleichen gemeinsamen Kennworts für mehrere Konten).

Kann man davon ausgehen, dass wir für Websites kein wirklich langes Kennwort benötigen Sobald wir die anderen Sicherheitsmaßnahmen befolgen? Wenn wir vorschlagen, dass Benutzer ein langes Kennwort verwenden, nur weil sie normalerweise nicht den anderen Sicherheitshinweisen folgen (verwenden Sie dasselbe Kennwort für alle Konten usw.). Versuchen wir nicht wirklich, die Symptome und nicht die Ursache zu beheben?

PS: Einige andere Fragen betreffen fast dasselbe, aber die Antworten berücksichtigen immer, dass die Person auf allen Websites dasselbe Kennwort verwendet oder dass die Website-Datenbank leicht gestohlen werden kann.

Was denkst du so lange? In Ihrem Beispiel macht die Verwendung eines 8 Zeichen langen alphanumerischen Passworts einen Online-Brute-Force-Angriff unmöglich. Aber das ist sowieso kein wahrscheinlicher Angriff.
Ich betrachte lange alles> 6 Zeichen. Vor langer Zeit, als Google Mail als Google gestartet wurde, mussten Sie ein> = 6-Passwort haben. Nach einiger Zeit wurde es auf> = 8 erhöht
Google Mail verfügt zwar über einige gute Sicherheitsmaßnahmen, ist aber auch ein großes Ziel für schändliche Menschen und wird wahrscheinlich täglich angegriffen. Ich denke, dass Passwort-Manager der richtige Weg sind, bis jemand einen Weg findet, leicht zu merkende, aber schwer zu knackende Passwörter zu finden (obligatorischer XKCD-Link: http://xkcd.com/936/). Nur weil eine Site oder ein Dienst anscheinend gute Gegenmaßnahmen getroffen hat, bedeutet dies nicht, dass sie nicht gehackt werden oder System- (oder menschliche) Fehler erleiden. Oder natürlich Sabotage.
Es gibt keine gute Antwort. Leider sind zufällige Passwörter (z. B. "pl3sqzjwAb") in der Regel schwer zu merken und einzugeben. Die meisten Menschen wären wahrscheinlich glücklicher mit "Passphrasen", aber viele Websites erlauben ihnen aus verschiedenen Gründen nicht, gut und schlecht zu sein.
Es ist für, wenn die Datenbank gehackt wird
Möglicherweise können Sie nur ein Kennwort pro Sekunde eingeben, aber es kann eine Software geschrieben werden, die dies viel schneller erledigt. Je länger das Passwort ist, desto mehr CPU- (und / oder) Zeit benötigen Sie, um ein Passwort zu knacken.
"Derzeit sagen alle Sicherheitsexperten immer wieder dasselbe: lange, gemischte Zeichen und Passwörter mit hoher Entropie erstellen" [Zitieren erforderlich]
Als Beispiel aus dem wirklichen Leben hat die PIN auf Ihrer Geldkarte oder Ihrem Visum nur 9999 mögliche Kombinationen, und Sie haben 3 Versuche. Wie oft wurde Ihre Karte ohne Vorankündigung deaktiviert und aufgrund einer bankinternen Sicherheitsverletzung oder eines Falls ersetzt, in dem sie nicht ganz sicher waren, ob jemand die Kontodaten von etwa hunderttausend Personen gestohlen hat (einschließlich aller Informationen, die zum Fälschen einer Karte erforderlich sind) Karte, aber ohne PIN)? Für mich ist dies in den letzten 10 Jahren fünfmal passiert, also durchschnittlich alle 24 Monate. Nehmen wir nun an, dass die durchschnittliche Website mit weniger Audits eine geringere Sicherheit aufweist als eine Bank.
@Damon das ist ein bisschen anders. 1) Es gibt nur 10 mögliche Kombinationen für jede Zahl an vier Stellen. Der "Hacker" benötigt nur höchstens 10.000 Vermutungen, um diese PIN zu erraten. Mit einem Passwort ist es viel, viel mehr, denn wenn ein Benutzer nur das Alphabet verwendet, gibt es an jedem Ort 26 verschiedene Möglichkeiten. Betrachten Sie dann Großbuchstaben und Kleinbuchstaben, und diese Zahl verdoppelt sich. Fügen Sie dann Zahlen hinzu, die jedem Ort 10 weitere mögliche Vermutungen hinzufügen. Der Zeitrahmen für das Hacken von Passwörtern ist viel, viel länger als auf einer Karten-PIN, einfach weil es mehr mögliche Optionen gibt.
Außerdem könnte ich mich mit einem Stück Papier und Stift hinsetzen, während Sie mir gegenüber sitzen, und Ihre PIN innerhalb einer Stunde erraten, indem Sie einfach den Eliminierungsprozess anwenden. Auf diese Weise erhalten diese "Hacker" so einfach und oft die PINs der Leute.
Es wäre interessant, eine glaubwürdige Analyse zu sehen, wie viele tatsächliche Gefährdungen / Durchdringungen aufgrund schwacher Passwörter im Vergleich zu allen anderen Sicherheitslücken auftreten. Es ist nicht klar, dass die Millionen-Kunden-Penetration bei Target, Home Depot und anderen in irgendeiner Weise auf schwache Passwörter zurückzuführen ist.
Zwölf antworten:
R15
2014-11-05 19:30:54 UTC
view on stackexchange narkive permalink

Das Folgende wird dem nicht wirklich gerecht, aber zusammenfassend ...

In einer idealen Welt sollten keine komplizierten Passwörter für Online-Ressourcen erforderlich sein.

Aber In dieser idealen Welt sind wir darauf angewiesen, dass die Administratoren des Systems die Systeme härten, um den unbefugten Zugriff auf die Kennwortdatei zu verhindern. Folgendes minimiert das Risiko:

  • Konfigurieren Sie die Infrastruktur sicher.
  • Patches sofort anwenden;
  • In irgendeiner Form überwachen, um einen Kompromiss im Falle eines Zero-Day-Exploit-Szenarios zu identifizieren (damit Benutzer aufgefordert werden können, ihre Kennwörter zu ändern );
  • Haben und befolgen Sie 'sichere' Programmier- / Entwicklungsmethoden;
  • Beschäftigen Sie nur vertrauenswürdige Personen.

Eine vollständige Kombination davon ist unwahrscheinlich Für viele Websites.

Schwächen in der obigen Liste können zu Exploits führen, mit denen Kennwörter vollständig umgangen werden können. Unabhängig von der Art eines erfolgreichen Exploits ist dies jedoch sicher nach dem Gewinnen Der unbefugte Zugriff auf ein System greift Angreifer an, die Kennwortdatei zu filtern und sie anschließend brutal zu erzwingen, um die weitere Kompromittierung anderer Systeme zu unterstützen (indem das Kennwortrecycling ausgenutzt wird).

Es gibt also keine Garantie dafür, dass ein starker (er ) Passwort verhindert alle schlechten Dinge. Es kann helfen, Schwachstellen in den Lösungen der Anbieter (ob bekannt oder nicht) zu beheben.

Um Zweifel zu vermeiden, sind wir auch darauf angewiesen, dass der Dienstanbieter die folgenden Schritte ausführt :

  • Hashing und Salting auf Passwörter anwenden;
  • Stellen Sie sicher, dass das Passwort niemals im Klartext ausgetauscht wird.

Ich denke für Bei den meisten Endbenutzern hängt die Entscheidung über die Komplexität und Länge des Kennworts von den Informationen ab, auf die die Site (und damit das Kennwort) Zugriff gewährt.

Meine Empfehlung lautet: Wenn es wichtig ist, verwenden Sie ein komplexes Kennwort, damit im Falle eines Systemkompromisses wahrscheinlich zuerst die Kennwörter anderer Personen entdeckt werden. Wenn jedoch etwas Triviales und Bequemeres wichtiger ist, nutzen Sie ein schwächeres Passwort, akzeptieren Sie jedoch, dass ein Hack zum Verlust des Zugriffs auf das Konto und / oder zur Freigabe von Informationen aus dem Konto führen kann.

Für Viele Websitebesitzer Ich vermute, dass die Entscheidung, komplexe Passwörter zu benötigen, eine Kombination aus FUD und dem Wunsch ist, die Auswirkungen eines kritischen Versagens von Kontrollen zu minimieren, indem die Zeit für Brute-Force-Passwörter verlängert wird, wodurch die Korrektur und Minimierung des tatsächlichen Benutzers länger dauert Kontokompromittierung (obwohl ein Angreifer, der Zugriff auf Kennwort-Hashes hat, wahrscheinlich über einen ausreichenden Systemzugriff verfügt, um das System auf andere Weise zu gefährden).

Sie haben vergessen, dass "kein Programmierer jemals einen Fehler macht".
Die einzige Antwort, die sich bisher mit der Frage befasst, ob die Dienste den Schutz des Kunden übernehmen sollen.
@MichaelKjörling Ich spüre einen Hauch von Ironie? Aber ja, vereinbart und aktualisiert. Vielen Dank.
@R15 Nur ein Hauch von Ironie. Die einfache Tatsache ist, dass jeder Fehler eines Programmierers im falschen Teil des Codes zu ausnutzbaren Schwachstellen führen kann, und es ist keineswegs sicher, dass solche Fehler selbst bei der Codeüberprüfung abgefangen werden, bevor es jemandem gelingt, sie auszunutzen, und daraus werden ein großes Problem. Keine Bosheit seitens eines Entwicklers erforderlich.
Entschuldigung, ich sehe den Sinn der meisten Gefahren nicht - in den meisten von ihnen würde ein längeres Passwort in keiner Weise helfen. Wenn ich nur für GMAIL ein einziges kurzes Passwort habe, ist der einzige Nachteil eines langen Passworts ein Offline-Brute-Force-Angriff. Und die meisten Ihrer Szenarien gefährden höchstwahrscheinlich das Konto, ohne dass ein Kennwort erforderlich ist, oder geben das Klartext-Kennwort an ... Szenarien, in denen nur der Hash für einen Offline-Wörterbuchangriff stillschweigend gestohlen wird, sind nur ein Bruchteil ...
1 & 2 können das Konto in irgendeiner Weise gefährden. 3 ohne Hashing ist die Passwortlänge irrelevant (und Salting ist Standard für große Websites) 4. Klartext = Länge irrelevant 5. Zero Day = Ändern Sie Ihre PW = Länge irrelevant 6 & 7 = auf jeden Fall ... Sie geben nur allgemeine Angriffsszenarien an - die Frage In welchem ​​Prozentsatz würde ein langes Passwort Ihnen helfen, es zu mildern?
@Falco Meine ursprüngliche Absicht der Liste war es, unsere Abhängigkeiten vom Dienstanbieter zu veranschaulichen, und ich wollte dies nicht auf "nur" die Passwortseite der Dinge beschränken, falls jemand dies in Zukunft aufgreift und es als Tick-Liste für verwendet Konfigurieren eines Dienstes. Ich werde die Antwort bearbeiten, um sie genauer zu gestalten (obwohl ich Ihrer Analyse nicht ganz zustimme).
In einer wirklich idealen Welt würden wir überhaupt keine Passwörter oder Sicherheitsmaßnahmen benötigen. ;)
DaniloNC
2014-11-05 18:36:42 UTC
view on stackexchange narkive permalink

Die Empfehlung für ein langes Passwort besteht darin, Passwörter vor dem Knacken zu schützen, wenn jemand Zugriff auf den Hash dieses Passworts hat.

Tools wie Hashcat können problemlos (mit GPU) 93800M c / s MD5-Hashes testen

Als Benutzer wissen Sie normalerweise nicht, wie die Site Ihr Passwort speichert. Daher ist es besser, ein langes Passwort zu verwenden, um diese Angriffe abzuwehren.

Hoffentlich speichern die von Ihnen verwendeten Websites keine Passwörter im Klartext. Dies wäre sehr schlecht und zeigt, dass unterschiedliche Passwörter verwendet werden müssen.
Wenn wir so denken, können wir davon ausgehen, dass wir für Dienste wie Google Mail kein langes Passwort benötigen. Da es sehr unwahrscheinlich ist, dass ihre Datenbank gehackt wird, und selbst wenn dies der Fall ist, ist es unwahrscheinlicher, dass jemand auf Ihren Benutzernamen abzielt. Ist es richtig? oder vielleicht ist diese Annahme viel zu optimistisch?
@drpexe Aber andererseits hätten die Leute dasselbe über LinkedIn sagen können.
Diese Annahme ist viel zu optimistisch. @drpexe ... es ist am sichersten anzunehmen, dass jedes Passwort gehackt wird, weil es wahrscheinlich eines sein wird, aber es gibt keinen wirklich guten Weg, um vorherzusagen, welches es sein wird.
@drpexe Sie können nicht davon ausgehen, dass Google Mail (oder ein anderer Anbieter) nicht gehackt wird. Tatsächlich wurde [Google _ zuvor gehackt] (https://en.wikipedia.org/wiki/Operation_Aurora).
@drpexe Erhalten Sie Spam-E-Mails? Dann zielt irgendwo ein Bot auf Ihren Benutzernamen.
@Jonathan Wenn der Server Ihr Passwort als Klartext speichert, hilft ein stärkeres Passwort kaum. Wenn der Server jedoch einen schlechten Kennwort-Hash verwendet (z. B. das Anwenden von MD5 auf das Kennwort und nichts weiter), können Sie mit einem sicheren Kennwort sicher bleiben.
@kasperd Guter Punkt. Ich habe darüber gesprochen, dass Sie nicht dasselbe Passwort für viele Konten wiederverwenden. Wenn eine Site es im Klartext speichert, ist es sehr wahrscheinlich, dass es kompromittiert wird und Hacker es verwenden können, um in Ihre anderen Konten zu gelangen.
@drpexe: Frühere Hacking-Instanzen zielen auf die Datenbank ab. So wird jeder Benutzername + Passwort-Hash (kein Klartext-Passwort) bekannt und kann von allen im Internet heruntergeladen werden. Von dieser Datenbank aus zielen Cracker dann auf den Benutzernamen aller, um die Wahrscheinlichkeit zu erhöhen, dass mindestens ein Konto geknackt wird (oder so viele Konten wie möglich). Warum sollten sie nicht? Sie und die meisten anderen Personen kontrollieren wahrscheinlich das Online-Banking-Konto über Google Mail. Das Ziel ist nicht Google Mail. Das Ziel ist Ihr Bankkonto, mit dem Sie das Passwort über Google Mail zurücksetzen können.
@slebetman Wenn Ihre Bank es Ihnen ermöglicht, Ihr Bankkennwort nur per E-Mail zurückzusetzen, sollten Sie sofort nach einer anderen Bank suchen. Normalerweise müssen Sie das Zurücksetzen auf einem anderen Kanal überprüfen (per Telefon oder sogar persönlich).
@törzsmókus: Die meisten, aber nicht Paypal. Ich verstehe, dass Paypal keine Bank ist, aber sie akzeptieren Geld von Ihnen und kümmern sich um Geld, das Ihnen die Leute geben. Sie erfüllen alle Grundfunktionen einer Bank und benötigen nur E-Mails zur Steuerung. Stellen Sie sich vor, Sie erhalten die Kontrolle über das Paypal-Konto eines vielbeschäftigten eBay-Verkäufers.
@slebetman: Sie haben einen gültigen Punkt gemacht, obwohl sogar Paypal eine Zwei-Faktor-Authentifizierung bietet.
Xander
2014-11-05 20:37:07 UTC
view on stackexchange narkive permalink

Gute Passwörter auszuwählen ist schwierig. Menschen und unsere Vorliebe für Muster sind einfach nicht sehr gut darin. Multiplizieren Sie das mit den Dutzenden von Konten, die wir im Laufe der Zeit ansammeln, und dies ist die Wurzel des Problems.

Ja, die Beseitigung fehlerhafter Kennwörter und die Wiederverwendung von Kennwörtern können das Problem der Erstellung weicher Ziele lösen, aber nicht das Grundproblem der Verwaltung all dieser Konten und Kennwörter, was zu fehlerhaften führt Passwörter und Passwortwiederverwendung in erster Linie. Es ist also gut und schön zu sagen, dass Sie nur gute Richtlinien zur Kennwortsicherheit befolgen, und Sie sind sicher, aber ohne das Problem der Kontoverwaltung anzugehen, haben Sie nichts gelöst.

Wie lautet die Antwort? Verwenden Sie einen Passwort-Manager. Dies löst das Problem. Wenn Sie das Problem der Kennworterstellung und -verwaltung auf ein speziell für diesen Zweck entwickeltes Tool verlagern, erhalten Sie standardmäßig sichere Kennwörter und müssen ein Kennwort nie wieder verwenden. Es ist keine perfekte Lösung (nichts ist es), aber es ist die beste, die wir derzeit haben, und wirft Fragen zur Komplexität und Länge des Passworts auf, denn wenn Sie nicht derjenige sind, der das Passwort erstellen und sich merken muss, ist es Ihnen egal wie komplex und lang es ist, nur dass es mit genügend Entropie erzeugt wird, um es stark zu machen, und ein Passwort-Manager gibt Ihnen das.

Ich bin mir nicht sicher, ob Sie den ganzen Punkt verstanden haben. Warum sollte jemand einen Passwort-Manager verwenden, wenn er einfach für jede Website ein leicht zu merkendes Passwort mit 6 Zeichen erstellen kann?
@drpexe Dann haben Sie die von Ihnen festgelegte Sicherheitsanforderung "leicht zu erraten" nicht erfüllt. Es gibt nicht genug Entropie in sechs leicht zu merkenden Passwörtern, damit sie stark sind. Besonders wenn Sie anfangen, über mehrere Dutzend bis hundert von ihnen oder mehr zu sprechen.
Für Offline-Angriffe ja, aber für Online-Angriffe nein. Ich bin damit einverstanden, dass selbst ein 6-Zeichen-Passwort schwer zu merken ist, wenn Sie Tonnen davon haben, aber dies gilt nicht für alle
@drpexe Sicher, ich sage nicht, dass es für niemanden funktionieren könnte ... Sicher könnte es. Es ist einfach keine gute allgemeine Lösung für das Problem.
Ich werde dem ersten Teil zustimmen, aber ein Passwort-Manager löst nichts wirklich.
Dies scheint die Kernfrage nicht wirklich zu beantworten.
@Lilienthal Ich weise in erster Linie darauf hin, dass die Grundvoraussetzung des Vorschlags fehlerhaft ist und die Einzelheiten irrelevant machen.
Genauer gesagt besteht das Problem darin, dass es leicht zu sein scheint, sich Dutzende von Passwörtern mit 6 Zeichen zu merken. Es ist jedoch für einen Menschen unmöglich, sich an zehn Passwörter mit 6 Zeichen * bei voller Entropie * zu erinnern. Ich würde vorschlagen, dies in Ihrer Antwort zu vermerken, da dies das ist, was das OP tatsächlich vorschlägt, und Sie nicht ausdrücklich darauf hinweisen, dass dort die Frage fehlerhaft ist.
@Xander: Was ist der Unterschied zwischen der Verwendung eines Passwort-Managers und der Wiederverwendung desselben Passworts überall und dem Schreiben auf alle Post-its * (außer Sie müssen im ersten Fall einem Dritten vertrauen) *?
Stan Rogers
2014-11-06 18:46:29 UTC
view on stackexchange narkive permalink

Die einzigen vernünftigen Annahmen für Webentwickler, die die lokale Kennwortauthentifizierung verwenden, sind:

  1. , dass ihre Benutzer für alles dasselbe Kennwort verwenden ;

  2. dass die Site bereits kompromittiert wurde, auch wenn sie noch nicht fertig geschrieben wurde; und

  3. mit den Folgen dieses Kompromisses wird eine wirklich teure rechtliche Haftung verbunden sein.

    4. ol>

    (Bitte beachten Sie dies Ich impliziere nicht und schlage auch nicht vor, dass alle - oder sogar alle - Webentwickler vernünftig sind oder genug darüber wissen, was sie tun, um zu erkennen, dass das, was sie tun, verrückt wäre wenn sie wüssten, was sie taten. Einfache Hashes, ob einfach oder gesalzen, sind rechnerisch nah genug an einfachem Text, um heutzutage nichts dagegen zu haben, und dennoch findet man immer noch einfachen Text, ungesalzenes MD5 usw. verstreut über das Internet in sogenannten "Tutorials", die überall auf Servern kopiert und in die Produktion eingefügt werden.)

    Diese Annahmen bedeuten, dass ich Ihr Passwort so behandeln muss, als ob ich eine Website mit einer extrem lokalen Anwendung betreibe, die es den Nutzern ermöglicht, Empfehlungen für glutenfreie Hamster-Leckereien aus biologischem Anbau aus Freilandhaltung und lokalem Anbau aufzulisten Es waren Ihre PayPal-, eBay- und E-Mail-Konten zusammen (weil es eine ziemlich gute Chance gibt, dass dies effektiv ist). Und das bedeutet, dass ich, um mein eigenes wertvolles Hinterteil zu schützen, zumindest einige minimale Schritte unternehmen muss, um Ihr kostbares Hinterteil zu schützen, ob es Ihnen gefällt oder nicht. Im Idealfall bedeutet dies, dass Sie Ihr Passwort zu etwas machen, das nicht trivial brutal erzwungen werden kann (unter Verwendung eines Crypto-Random-Salt und einer teuren Funktion zur Schlüsselableitung) und eine absolute Untergrenze für die Anzahl der Zeichen festlegen (idealerweise ohne Obergrenze, innerhalb eines angemessenen Rahmens) ), während Sie trotzdem etwas verwenden können, an das Sie sich leicht erinnern können (nichts davon "muss mindestens ein Zeichen mit Akzent, ein Emoji und ein Hiragana verwenden" -Nonsens). Mit anderen Worten, wenn Sie ein wirklich kurzes Passwort verwenden, ist mein persönliches Gesäß ungerechtfertigten Gefahren ausgesetzt. Erwarten Sie also nicht, dass ich es zulasse. Und das ist, wenn meine Website keine Geheimnisse außer Ihrem Passwort schützt. Wenn mit Ihnen tatsächlich personenbezogene Daten verbunden sind, für die ich verantwortlich bin, erwarten Sie meine Paranoia bei Ihnen Namen dramatisch zu erhöhen.

Taemyr
2014-11-06 21:04:23 UTC
view on stackexchange narkive permalink

Es gibt Probleme mit einigen Ihrer Annahmen.

309 Millionen sind eine lächerlich kleine Zahl, wenn es zu einem Offline-Angriff kommt. Und bei einem Offline-Angriff, selbst mit einem guten Salz, wird der Angreifer zuerst die niedrig hängenden Früchte suchen. Dh. Suchen Sie die Passwörter im Wörterbuch, dann die kurzen Passwörter und andere einfache Passwörter. Wie problematisch dies ist, ist jedoch umstritten - die Chance ist gut, dass ein Angreifer mit Zugriff auf die Kennwortdatenbank auch Zugriff auf alles hat, wonach er sucht. - Dies setzt voraus, dass keine Wiederverwendung von Passwörtern stattfindet.

309 Millionen sind, wie Sie bemerken, ein zu großer Suchraum, um bei einem Online-Angriff brutale Gewalt anzuwenden. Ihre Annahmen, die zu dieser Zahl führen, sind jedoch zweifelhaft. Wir als Spezies sind in zwei relevanten Aufgaben notorisch arm; mit wirklich zufälligen Sequenzen aufwarten und sich an zufällige Sequenzen erinnern. Dies bedeutet, dass Ihre Entropie erheblich niedriger ist, wenn Sie ein 6-stelliges Passwort ausgewählt haben. Dies kann vermieden werden, wenn Sie einen Kennwortmanager oder ein ähnliches Dienstprogramm verwenden. In diesem Fall können Sie jedoch auch ein längeres Kennwort verwenden, um sich vor Offline-Angriffen zu schützen.

Abschließend; Eine gute Entropie in Ihrem Passwort zu erhalten, hängt vom Entropie-PR-Zeichen und der Länge Ihres Passworts ab. - Wenn Sie eine gute Entropie pro Zeichen haben, können Sie ein kürzeres Passwort akzeptieren. Dies ist jedoch ein Ansatz, der für die meisten Menschen schlecht geeignet ist, da wir uns besser an längere Zeichenfolgen mit niedrigerer Entropie pro Zeichen erinnern als an kürzere Zeichenfolgen mit hoher Entropie pro Zeichen. Wir generieren auch zufällige Zeichenfolgen, und der von Ihnen zitierte Rat richtet sich an Personen, die keine Kennwortmanager zum Generieren von Kennwörtern verwenden.

Falco
2014-11-07 19:39:53 UTC
view on stackexchange narkive permalink

Die Verwendung eines komplexen Passworts für eine einzelne sichere Site entspricht der Verwendung eines speziellen Schlosses an Ihrer Wohnungstür, wodurch das Öffnen der Tür länger dauert und Sie besser vor 1% aller Einbrecher geschützt sind.

Die meisten Antworten beziehen sich auf alle Arten von Angriffsszenarien, die Ihr Passwort gefährden könnten. Um jedoch zu entscheiden, ob ein kleineres Passwort (6 Zeichen) ausreicht, wenn Sie es nur auf einer einzigen Site mit angemessener Sicherheit verwenden, müssen wir nur Vergleichen Sie eine einzelne Zahl:

Wie viele Angriffe funktionieren bei einem schwachen Passwort signifikant besser als bei einem starken Passwort?

Wenn der Online-Brute-Force-Schutz ausreichend stark ist (eine Voraussetzung in der Frage) ) Das einzige relevante Angriffsszenario ist das Offline-Brute-Forcing. In allen anderen Angriffsszenarien (Lesen von Klartextkennwörtern, Sitzungsdiebstahl, Social Engineering, Phishing, Fälschung von Benutzern) spielt die Komplexität des Kennworts keine Rolle (wenn es sich nicht um ein Standardkennwort handelt).

Also wie Viele% der Angriffe auf Ihr Konto oder auf Google Mail werden wahrscheinlich ein praktikables Offline-Brute-Forcing Ihres Passworts verwenden. Wahrscheinlich so gut wie keine. Brute Forcing funktioniert nur gegen einen Hash oder eine verschlüsselte Version Ihres Passworts. Überall sonst ist Ihr Passwort im Klartext (Komplexität ist also irrelevant) oder überhaupt nicht relevant (z. B. Sitzungs-ID, direkter Zugriff eines Insiders auf den Mail-Speicherserver).

Die einzigen Fälle, in denen Ihr Passwort lautet verschlüsselt oder gehasht sind 1. gesalzener Hash in der Datenbank und 2. Übertragung Ihres Passworts über HTTPS

  1. gesalzener Hash in der DatenbankWenn der Hacker Zugriff auf die Datenbank erhalten hat, in der alle Benutzer- Passwörter werden gespeichert (wahrscheinlich einer der am besten gesicherten Punkte in der Infrastruktur), konnten jedoch keinen Zugriff auf andere Dienste erhalten (z. B. eine aktive Sitzungs-ID oder einen direkten Kontozugriff). Anschließend ein Offline-Angriff auf Ihren gesalzenen Hash mit einem Brute-Force-Angriff würde schnell Ihr Passwort verwenden.

  2. HTTP-Übertragung Sehr unwahrscheinlich, da der Angreifer Ihren HTTPS-Stream brutal erzwingen müsste, um Ihr Kennwort zu isolieren. Daher spielt die Kennwortlänge höchstwahrscheinlich keine große Rolle.

    3. ol>

    Das einzige Szenario in Ein langes Passwort schützt Sie tatsächlich, wenn jemand Zugriff auf den (wahrscheinlich) sichersten Datenspeicher der Infrastruktur erhält, ohne dass dies jemand bemerkt - und ohne ausreichenden Zugriff, um einen einfacheren Zugriff auf Ihr Konto zu erhalten. Ich würde sagen, dass dieses Szenario wirklich unwahrscheinlich ist, da es sich bei der Vielzahl von Sicherheitslücken und Angriffen auf Ihr Konto nur um einen unwahrscheinlichen Angriffstyp handelt.

Es ist so unwahrscheinlich, dass es großen Unternehmen im vergangenen Jahr mindestens sieben Mal passiert ist. Hier ist eine Liste von [schwerwiegenden Verstößen] (https://haveibeenpwned.com/PwnedWebsites). Möglicherweise stellen Sie fest, dass GMail auf dieser Liste steht. Während es einen kleinen Teil aller Angriffe ausmacht, enthüllt es in diesem Fall Millionen von Passwörtern. Wenn Sie sich ansehen, wie wahrscheinlich es ist, dass eine bestimmte Person ein Konto an einer verletzten Stelle hat, stehen die Chancen tatsächlich ziemlich gut. Diese Liste enthält Yahoo, Adobe, Google Mail und Snapchat. Ich denke, die Chancen stehen ziemlich gut, dass eine bestimmte Person in den letzten zwei Jahren gegen ihr Passwort verstoßen hat.
@Tyrsius würde in diesen Fällen ein "komplexes" Passwort einen Unterschied machen? Mit der Zeit neige ich eher dazu zu glauben, dass das sicherste Passwort dasjenige ist, das es nicht gibt.
@prusswan Ja, mit einem komplexen Passwort haben Sie mehr Zeit, bevor das Passwort ermittelt werden kann. Auf diese Weise können Sie das Kennwort auf der verletzten Site ändern. Je komplexer, desto mehr Zeit haben Sie. Eine ausreichende Komplexität in Kombination mit einer geeigneten Kennwort-Hashing-Methode (wie bCrypt) macht es so schwierig, dass es wahrscheinlich nicht abgeschlossen wird, bevor der Angreifer aufgibt. Der Punkt ist, dass die Chancen stehen, dass Ihnen dies * passieren * wird, und es ist besser, mit einem schwer zu knackenden Passwort vorbereitet zu sein. Noch besser, wenn das Passwort eindeutig ist und das Knacken nur das beschädigte Konto aufdeckt.
@Tyrsius Es gibt keine Hinweise darauf, dass Google Mail verletzt wurde. Wenn Sie der Diskussion über die "Google Mail-Liste" folgen, gibt es keine Hinweise darauf, dass pw-Hashes tatsächlich gestohlen wurden, und die meisten Leute geben an, dass die Anmeldungen wahrscheinlich von xtube oder anderen Websites stammen ...
@Falco Das ist gut zu wissen. Ich denke, mein Standpunkt bleibt jedoch bestehen: Während diese Angriffe weniger häufig sind, führen sie, wenn sie * passieren *, zu Hunderttausenden, manchmal Millionen von verletzten Anmeldeinformationen. Anstatt die Häufigkeit der Angriffe zu untersuchen, sollten wir die Anzahl der Betroffenen pro Jahr untersuchen. Es gibt einen viel besseren Hinweis darauf, wie wahrscheinlich es ist, dass Sie von solchen Angriffen betroffen sind.
James_1x0
2014-11-06 20:33:07 UTC
view on stackexchange narkive permalink

Meine Antwort lautet einfach Ja. Sie können nicht davon ausgehen, dass Websites gesalzene Hashing-Methoden verwenden. Zum Beispiel wird MD5 immer noch in freier Wildbahn verwendet und die Leute halten es für vollkommen akzeptabel.

Aber mit einem stark gesalzenen Hashing-Mechanismus kann niemand auf das eigentliche Passwort zugreifen, selbst wenn dies der Fall ist ein niedriger char pass. Dies gilt insbesondere dann, wenn Ihr Server ordnungsgemäß gesichert ist und Ihre API die richtigen Vorsichtsmaßnahmen für Brute-Force-Angriffe trifft.

Mark
2014-11-07 22:23:20 UTC
view on stackexchange narkive permalink

Es ist zwar sicherer, komplizierte Passwörter zu erstellen, ich empfehle jedoch immer, sie gleichzeitig zu vereinfachen und eine eindeutige Funktion pro Website zu haben. Dies ist nur dann eine Sicherheitsanfälligkeit, wenn Sie auf einen Phishing-Betrug hereinfallen. Aus diesem Grund ist es wichtig, mehrere Möglichkeiten zur Wiederherstellung Ihrer E-Mail-Adresse zu haben, da Sie mit Ihrer E-Mail andere Konten wiederherstellen können.

Hier sind die Regeln, die ich persönlich verwende:

  • Mindestens 8 oder 10 Zeichen, vorzugsweise 12 oder mehr
  • Verwenden Sie etwas, das Ihnen etwas bedeutet
  • Abkürzungen oder die Verwendung einer Zahl anstelle eines Buchstabens können einfach, aber effektiv sein.
  • Wenn Sie möchten, können Sie ein Präfix oder Suffix verwenden, um Kennwörter eindeutig zu halten.

Also für Beispiel: ThisIsMyPassword14si

Verwendet: Großbuchstaben, Zahlen und das Suffix von si für den Stapelaustausch und hat ein Jahr mit etwas, das persönlich etwas bedeutet. Diese Art von Kennwort wird normalerweise immer als sicheres Kennwort angezeigt.

Es gibt auch weitere Dienste, mit denen Sie sich mit einem anderen tokenbasierten Dienst anmelden können. Ich denke, dies ist eine großartige Idee, da Sie sich jederzeit abmelden können, wenn Sie einen Zugriff entfernen möchten, und nicht für jeden einzelnen Dienst ein Kennwort benötigen (vorausgesetzt, die Entwickler haben den Prozess korrekt entworfen). Sie müssen jedoch mehr sein Gehen Sie vorsichtig mit dem Kennwort für diesen Dienst um und haben Sie mehrere Wiederherstellungsoptionen, falls Sie es aus irgendeinem Grund verlieren.

Ich denke, dass Google hier in die richtige Richtung geht, indem es mehrere Wiederherstellungsoptionen und 2- Faktorauthentifizierung. Das Problem ist, dass fast alles gefälscht werden kann, wenn Sie nicht auf die tatsächliche Seite achten, auf der Ihre Informationen angefordert werden.

Hoffentlich gibt es in Zukunft ein Gerät wie ein Mobiltelefon, das als Sicherheitsüberprüfung für Webdienste fungieren kann. Apps werden vom Distributor gesteuert. Wenn Sie also eine App pro Plattform haben, um die Zugriffsanfrage zu erhalten und um Ihre Erlaubnis zu bitten, ist dies der richtige Weg, um in Zukunft damit umzugehen. Wir müssen uns also nicht um dieses individuelle Passwort kümmern alles Unsinn.

... eines Tages ...

dibble
2014-11-06 12:06:43 UTC
view on stackexchange narkive permalink

Vergessen wir nicht, dass jemand ein Ziel nicht brutal erzwingen muss. Sie können dasselbe Kennwort mit vielen Zielen versuchen, wodurch die Benutzer mit den häufigsten Kennwörtern anfällig werden.

Dies funktioniert nur, wenn der Benutzer ein Passwort wie "123456" oder etwas sehr Häufiges hat.
@drpexe überschätzen Sie die Sorgfalt der Benutzer: http://stricture-group.com/files/adobe-top100.txt
Irving Poe
2014-11-08 16:36:10 UTC
view on stackexchange narkive permalink

Sie haben den lokalen physischen Angriff vergessen! Ein langes komplexes Passwort verringert die Wahrscheinlichkeit, dass Schulterkennungen erfolgreich sind. Selbst wenn jemand auf meine Tastatur starrt, bekommt er meine Passwörter nur, wenn er Rainman ist. (Kann keinen Kommentar abgeben)

Shai
2014-11-09 11:15:21 UTC
view on stackexchange narkive permalink

Bei Verwendung eines zuverlässigen Zwei-Faktor-Authentifizierungssystems ist die Verwendung eines weniger sicheren Kennworts sinnvoll. Es ist immer noch am besten, ein schwieriges Passwort zu verwenden, das von einem Passwortgenerator mit Groß- und Kleinbuchstaben, Zahlen und Symbolen generiert wird.

Aber Leute, die kein so sicheres Passwort bereitstellen; Im Fall eines Dienstes, der eine Zwei-Faktor-Authentifizierung bietet, können sich diese Personen einigermaßen sicher fühlen.

Amaresh Pattanayak
2014-11-06 14:36:55 UTC
view on stackexchange narkive permalink

Sie können Ihr Passwort nicht mit einer großen Anzahl von Kombinationen sichern. Damit Sie Ihr Passwort verschlüsseln müssen. Einige gängige Krypto-Algen sind md5, SHA-1, SHA-256 stc.Aber es ist immer noch nicht 100% sicher. Angreifer können Ihr Passwort mit Tools wie Hash Cat mit hoher GPU entschlüsseln, wie oben erwähnt.

In einer Nussschale ist also kein Algo 100% sicher. Sie können jedoch einen starken Passwortmechanismus generieren, indem Sie Salze mit vorhandener Krypta verwenden Hier sind einige berühmte Krypta-Algen.

http://en.wikipedia.org/wiki/Comparison_of_cryptographic_hash_functions

Hashing ist nicht dasselbe wie Verschlüsseln


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...