Frage:
Die Schule führt regelmäßige Passwortprüfungen durch. Ist mein Passwort manipuliert?
GB1553
2019-03-06 00:11:15 UTC
view on stackexchange narkive permalink

Meine Universität hat mir eine E-Mail gesendet, in der ich darüber informiert wurde, dass mein Passwort bei einer "regelmäßigen Überprüfung" als "leicht auffindbar und gefährdet" eingestuft wurde. Soweit ich weiß, sollte es für sie keine Möglichkeit geben, mein Passwort regelmäßig zu überprüfen, es sei denn, mein Passwort wurde im Klartext gespeichert. Meine Frage:

  • Ist mein Verständnis falsch oder hat meine Universität mein Passwort im Klartext gespeichert?

UPDATE: Die IT-Abteilung der Schule hat mich mit a verknüpft Seite, auf der die verschiedenen Möglichkeiten zur Überprüfung von Passwörtern erläutert werden. Ein Teil der Seite ermöglichte es mir, die Tests auf meinem Universitätskonto auszuführen und das Passwort anzuzeigen, wenn es tatsächlich aus ihren Tests herausgefunden wurde. Das angezeigte Passwort war ein älteres (schwächeres) Passwort von mir, bei dem es sich einfach um englische Wörter handelte, die durch Leerzeichen getrennt waren, was erklärt, wie sie es finden konnten. Vielen Dank an alle, die geantwortet haben.

Vielleicht knacken sie Hashes?Vielleicht verwenden sie haveibeenpwned oder ähnliches.Ist Ihr Passwort ziemlich schwach?
könnte für einen Wörterbuchangriff einfach sein, abhängig davon, wie er aufgebaut ist ... aber es scheint dennoch ein wenig ehrgeizig für die IT-Abteilung Ihrer Schule, dies zu tun :)
Ich habe das Passwort bereits geändert, daher kann ich auch das Format angeben.Es folgte das XKCD-Format mit englischen Wörtern, die durch Sonderzeichen getrennt waren.
Wenden Sie sich an die IT-Abteilung, um sicherzugehen.Vor allem, wenn Sie es per E-Mail erhalten haben.Könnte ein Phishing-Versuch sein.
Bitte verwenden Sie keine Kommentare für längere Gespräche
Ich schlage eine andere mögliche Erklärung vor - niemand hat etwas gehackt und sie stützen ihre Warnung einfach auf Folgerungen.Haben Sie Ihr Passwort vor langer Zeit erstellt, als die Anforderungen einfacher waren?Vielleicht haben sie eine Schwachstelle in der Überprüfung der Kennwortstärke entdeckt, die bei der Erstellung Ihres Kennworts aufgetreten ist?
Wenn ich höre, dass Sie ein Passwort im XKCD-Format hatten und es Ihnen auf der Überprüfungsseite gezeigt wurde, bin ich noch misstrauischer, dass Ihr Passwort im Klartext vorliegt.
@user3067860, weshalb ich als Teil meines Passworts Sätze verwende, die besonders beleidigend für Einzelpersonen usw. sind.Schön und stark, also sollten die üblichen Ripper usw. keinen Treffer erzielen, und wenn sie es im Klartext speichern, wurde ich noch nicht zur Personalabteilung gerufen :)
@GaryBlake schrieb "Erklären der Art und Weise, wie sie überprüft werden ..." und "erlaubte mir, die Tests auszuführen" ... Was sind diese Methoden und welche Tests haben Sie ausgeführt?War es ein Test, der nur Ihr im Klartext gespeichertes Passwort abruft und es Ihnen zeigt, oder war es ein Tool, das versucht, ein Brute-Force-Passwort zu erraten, oder was war es?Wenn sie ein Tool haben, mit dem Passwörter im XKCD-Stil leicht durch Brute-Force geknackt werden können, sollten wir darüber Bescheid wissen.
@Aaron Die Leute haben ein solches Passwort schon viel länger geknackt als es den xkcd-Comic gibt. Aktuelle Forschungen berücksichtigen sogar die Grammatik- und Satzstruktur, um den Suchraum zu verringern.Das ist wirklich nichts Neues.Siehe z.[this] (http://www.jbonneau.com/doc/BS12-USEC-passphrase_linguistics.pdf) Papier für nur ein Beispiel.Wenn Sie Passphrasen verwenden, wählen Sie keine SVO-Sätze mit der richtigen Grammatik aus, wenn Sie Schwachstellen vermeiden möchten (obwohl Passphrasen in der Praxis auch in dieser Situation immer noch stärker sind als Ihr durchschnittliches zufälliges Zeichenpasswort).
@GaryBlake, Sie schreiben in Ihr Update, dass Sie Ihr altes Passwort gesehen haben.Dies bedeutet, dass die Passwörter der Schüler im Klartext gespeichert werden.Vielleicht nicht ihr aktuelles Passwort, aber da die Leute ihre Passwörter normalerweise wiederverwenden, haben sie dort wahrscheinlich einige Bank-Logins im Klartext.Bitte beschweren Sie sich.
@Aaron Wenn Ihr Passwort überhaupt eine "Grammatik- und Satzstruktur" hat, dann ist das wirklich kein Passwort im XKCD-Stil, da der Sinn dieses Comics darin bestand, die Auswahl mehrerer Wörter * nach dem Zufallsprinzip * zu empfehlenErstellen Sie einfach eine Mnemonik aus ihnen.Wenn Sie zuerst die Mnemonik erstellen und dann in ein Passwort umwandeln, haben Sie den Punkt genauso verfehlt wie die Idioten, die immer noch Sonderzeichen und dergleichen erzwingen.
@GaryBlake Haben Sie das XKCD-Format richtig befolgt?Zum Beispiel die Auswahl der Wörter über eine tatsächliche Zufallsauswahl (oder zumindest über eine gute, starke Pseudozufallsmethode, da es so gut wie unmöglich ist, eine echte perfekte Zufälligkeit zu erzeugen)?Wenn Sie das getan haben, dann ja, alles, was behauptet, geknackt zu haben, liegt entweder direkt daran, dies getan zu haben, oder greift Schwachstellen in ihrem System an, nicht Schwachstellen in Ihrem Passwort.Wenn Sie nur vier Wörter ausgewählt haben, die Ihnen gefallen, müssen Sie zurückgehen und den Comic erneut lesen und diesmal die Details etwas genauer betrachten.
"Das erklärt, wie sie es finden konnten."Ich bin mir nicht sicher, ob dies richtig ist - wenn Sie 2 Wörter hätten, wäre es ziemlich trivial (vielleicht 4 Millionen Vermutungen, was für einen anständigen Computer nicht viel ist), aber wenn es 4 Wörter wären, hätte es viel schwieriger sein sollenals sie vernünftigerweise knacken könnten.
@MatthewNajmon kann es auch ein lamebrained Management sein, das "richtige Pferdebatterie-Heftklammer" für ein schreckliches Passwort hält, da es keine Kappen, Ziffern oder Sonderangebote enthält.Ich habe einen korrekten Pferdebatterie-Klammerpass, und ich habe ihn dazu gebracht, Kappen, Ziffern und einen Bindestrich hinzuzufügen, um diese Lamers zufrieden zu stellen, und dann hat sich Paypal beschwert, weil ein Bindestrich nicht speziell genug ist.SMH ...
Sechs antworten:
#1
+179
Mike Scott
2019-03-06 00:19:08 UTC
view on stackexchange narkive permalink

Ihr Verständnis ist falsch. Wenn Kennwörter als stark gesalzener Hash gespeichert werden, kann der Administrator keine guten Benutzerkennwörter finden, sondern diejenigen, die in Listen häufig verwendeter Kennwörter aufgeführt sind, indem er den Hash und das Salt auf jedes Kennwort auf dem Kennwort anwendet Liste und auf der Suche nach einem Match. Es ist jedoch viel einfacher, wenn die gespeicherten Kennwörter nicht gesalzen sind, da Sie sie in diesem Fall nur einmal und nicht einmal pro Benutzer ausführen müssen, sodass dieses möglicherweise anzeigt, dass die gespeicherten Kennwörter nicht gesalzen sind , was der Best Practice widerspricht.

@forest Das Muster könnte sein, dass das Passwort in einer bestimmten Liste angezeigt wird.Aber das würde den Zweck der Verwendung von Regenbogentischen in erster Linie zunichte machen.Der Zweck einer Regenbogentabelle besteht darin, den für vorberechnete Hashes erforderlichen Speicherplatz zu reduzieren.Wenn Sie die Liste der Passwörter speichern müssen, die von Ihrer Regenbogentabelle abgedeckt werden, haben Sie nichts gewonnen.
@kasperd Ja, theoretisch könnte die Reduktionsfunktion eine Nachschlagetabelle sein, aber das wäre extrem dumm.
@forest Genau mein Punkt.
#2
+66
gowenfawr
2019-03-06 01:22:29 UTC
view on stackexchange narkive permalink

Soweit ich weiß, sollte es für sie keine Möglichkeit geben, mein Passwort regelmäßig zu überprüfen, es sei denn, mein Passwort wurde im Klartext gespeichert.

Eigentlich gibt es: Knacken

Es ist bekannt, dass Systemadministratoren Cracking-Tools (John the Ripper, Hashcat usw.) für die gehashten Kennwörter ausführen. Personen mit einfachen Passwörtern können in trivialer Zeit geknackt werden. Daher war es, wie sie es definieren, leicht zu erkennen und gefährdet, wenn sie Ihr Passwort geknackt haben.

Um diesen Artikel über John the Ripper zu zitieren:

Wie Sie sich für John entscheiden, liegt bei Ihnen. Sie können es regelmäßig für alle Kennwort-Hashes auf Ihrem System ausführen, um eine Vorstellung davon zu erhalten, welcher Anteil der Kennwörter Ihrer Benutzer unsicher ist. Sie können dann überlegen, wie Sie Ihre Kennwortrichtlinien ändern können, um diesen Anteil zu verringern (möglicherweise durch Erhöhen der Mindestlänge). Möglicherweise möchten Sie Benutzer mit schwachen Kennwörtern kontaktieren und sie bitten, diese zu ändern. Oder Sie möchten Entscheiden Sie, dass das Problem eine Art Benutzerschulungsprogramm erfordert, mit dem sie sicherere Kennwörter auswählen können, an die sie sich erinnern können, ohne sie aufschreiben zu müssen.

Aber wenn die Institution einen anständigen Passwort-Hashing-Algorithmus wie bcrypt oder PBKDF2 ausführt, sollte dies nicht praktikabel sein - es würde zu viel Rechenleistung erfordern.Ist das nicht richtig?Wenn sie jedes Kennwort mit 100.000 einfachen Kennwörtern vergleichen, haben sie unter konstanter CPU-Auslastung Schwierigkeiten, mehr als ein paar Kennwörter pro Tag zu erstellen.
@thomasrutter Wenn Sie nur versuchen, die "einfachen" Passwörter von oben zu überfliegen, ist der Unterschied in den Zyklen zwischen DES und PBKDF2 nicht so groß wie bei einem vollständigen Brute-Force-Angriff.Auch hier handelt es sich um ein selbstdefinierendes Problem.Alles, was in dieser Zeit vermutet wurde, dass Admins genug CPU zum Werfen hatten, ist "knackbar", was niemandem etwas Bedeutendes darüber sagt, was dahinter lauert ... Dies ist eine kontroverse Methode, weil sich Admins dadurch gut und manchmal mächtig fühlen;;Dies führt nicht immer zu einer messbaren Verbesserung der Benutzergewohnheiten.
@thomasrutter Wie viel Zeit würden Sie in Ihrem Fall für die Validierung eines einzelnen Passworts erwarten?Sprechen Sie über eine Komplexitätseinstellung, bei der die gesamte Maschine mehrere Sekunden lang benötigt wird?Denken Sie, dass dies in der Praxis verwendet werden kann?(Geschweige denn gibt es ein tatsächliches Benutzerverzeichnis, das mit Kerberos und / oder AD kompatibel ist und das das verwenden würde?)
Die Algorithmen sind skalierbar, sodass Sie im Wesentlichen die Verarbeitungszyklen auswählen können, die Sie jedes Mal verwenden möchten. Ich habe im Kopf, dass die Berechnung auf einer durchschnittlichen einzelnen CPU normalerweise etwas weniger als eine Sekunde dauert, aber dies sind nur Baseballstadienund es gibt legitime Argumente, um es sogar um das 10-fache oder 100-fache schneller zu machen.
#3
+39
Ghedipunk
2019-03-06 00:18:48 UTC
view on stackexchange narkive permalink

Ihre Universität hat Ihr Passwort möglicherweise nicht im Klartext gespeichert. Sie haben eine sehr einfache Möglichkeit, den Klartext Ihres Passworts abzurufen, und ich vermute, dass sie mindestens ein paar Mal pro Tag Zugriff darauf haben.

Sie geben ihnen jedes Mal, wenn Sie sich anmelden, Ihr Passwort als Klartext on.

Wenn Sie sich bei einer von ihnen gehosteten Anwendung anmelden, z. B. einer Site zum Verwalten von Online-Klassen oder zum Überprüfen Ihrer Noten, und sie den Quellcode für diese Online-Anwendung haben, können sie dies trivial tun Sie erhalten Zugriff auf Ihr Klartextkennwort, ohne es zu speichern oder an ein anderes System zu übertragen, und können zu diesem Zeitpunkt die Sicherheit Ihres Kennworts überprüfen.

Sie können auch die Kennwortstärke überprüfen, wenn Sie sich anmelden, falls dies der Fall ist verwenden einen Single-Sign-On-Dienst.

Es ist jedoch immer noch extrem faul. Wenden Sie sich an die IT-Abteilung Ihrer Universität und stellen Sie sicher, dass Ihr Passwort sicher gespeichert ist. Stellen Sie gezielte Fragen dazu, wie sie Ihr Passwort überprüft haben.

Der Rest meiner Ratschläge folgt den üblichen Ratschlägen zur Internetauthentifizierung: Klicken Sie in dieser E-Mail nicht auf Links. Wenn Sie Ihr Passwort ändern, tun Sie dies auf normale Weise und nicht über einen Link, der Ihnen per E-Mail gesendet wurde. Verwenden Sie einen Passwort-Manager, um lange zufällige Passwörter zu speichern und zu generieren. (Idealerweise sollten Sie nur zwei Ihrer Passwörter kennen: dasjenige, das sich bei Ihrem Computer anmeldet, und dasjenige, das sich bei Ihrem Passwort-Manager anmeldet.) Verwenden Sie ein Passwort niemals für irgendeinen Zweck wieder. Wenn Sie mit der IT-Abteilung der Universität sprechen, fragen Sie sie nach der 2-Faktor-Authentifizierung.

"Sie geben ihnen jedes Mal, wenn Sie sich anmelden, Ihr Passwort als Klartext" - es sei denn, sie extrahieren dies aus dem Speicher des Hosts (was ich als sehr unwahrscheinlich bezeichnen würde) oder es ist eine sehr schlecht konfigurierte Web-App, die ich mir nur schwer vorstellen kannSzenario, in dem sie auf diese Weise Kennwortprüfungen durchgeführt haben.
@DKNUCKLES Sie haben noch nie eine Web-App gesehen, die die Kennwortstärke lokal überprüft, bevor Sie sie senden?Es ist sehr häufig in Anmeldeformularen und ich habe Systeme getroffen, die es nachträglich angewendet haben und "schwache" Passwörter ablehnen, wodurch die Verwendung des Systems für verlorene Passwörter erzwungen wird.(Ich bevorzuge Passphrasen gegenüber $ pec1al Zeichen $ und war mehr als einmal.)
@LorenPechtel Dies ist ein anderes Szenario als das, worauf sich OP bezieht.Die clientseitige Überprüfung der Kennwortstärke vor dem Festlegen eines Kennworts ist nicht schwierig und kann ohne Offenlegung eines Klartextkennworts erfolgen.OP beschreibt ein vorhandenes Passwort, das rückwirkend geprüft wurde.
@DKNUCKLES Aber wer sagt, dass es rückwirkend war?Geben Sie den Überwachungscode in den Client ein und teilen Sie dem Server mit, dass das Kennwort schwach ist.
Wenn es einen Single Sign On-Dienst gibt, ist es nicht unglaublich, dass die Kennwortstärke gleichzeitig mit der Gültigkeit beim Anmelden des Benutzers serverseitig überprüft werden kann.
Wir gehen also von einer verschlungenen Verschwörungstheorie aus (wenn sich Ihr Computer in einer Domäne befindet, könnte er sicherlich einen Keylogger installieren, der Ihr Kennwort protokolliert), anstatt der offensichtlichen Lösung, ein Kennwort-Cracker-Tool über die in der Domäne / Datenbank gespeicherten Hashes auszuführen?Nun ... sicher, dass sie alle Anstrengungen unternehmen könnten, aber es scheint albern, dies zur Standardannahme zu machen.
@DKNUCKLES, vielen Dank für Ihr Feedback.Ich habe die Antwort aktualisiert, um zu verdeutlichen, dass die wahrscheinlichste Quelle für diese Art des Zugriffs auf das Klartextkennwort Online-Apps sind, bei denen der Websitebesitzer Zugriff auf den Quellcode hat.
@LorenPechtel Das OP-Update macht deutlich, dass es rückwirkend war, das Passwort war ein altes, das sie nicht mehr verwenden.
@user3067860 Mit diesem Update ist es sehr wahrscheinlich, dass sie ein Sicherheitsproblem haben.
Ich habe ein System, in dem MD5-Kennwörter gespeichert sind, auf eine sicherere Methode aktualisiert, indem Kennwörter beim Anmelden abgefangen wurden, wie in dieser Antwort beschrieben.Die Idee, das Passwort abzufangen, während es für die Anmeldung verwendet wird, ist also weder neu noch unbekannt.
@Voo Es ist kein Keylogger erforderlich.Das Passwort wird nicht auf dem Client, sondern auf dem Server in seine endgültige Form konvertiert.Viele Dienste ermöglichen konfigurierbare Authentifizierungsmodule, sodass Sie alte Authentifizierungssysteme austauschen und neue austauschen können. Für jemanden, der weiß, was er tut, wäre es keine große Sache, ein System auszutauschen, das ein Wrapper für das normale System istDas macht etwas mit dem Klartext-Passwort, bevor es an das echte Authentifizierungssystem weitergeleitet wird.
@Aaron Ich dachte, die Übertreibung sei klar.Der Punkt ist: Es gibt viel einfachere Möglichkeiten, nach schwachen Passwörtern zu suchen, bei denen Sie keinen Code ändern müssen, und ein komplexes Schema zu erstellen, was ein schwaches Passwort ausmacht und was nicht.Einige Server speichern die Passwörter bereits. Der beste Weg, um zu überprüfen, ob die Passwörter schwach sind, besteht darin, genau das zu tun, was ein Angreifer auch tun würde.Es gibt vorhandene Tools, die dies für Standardsysteme praktisch ohne Aufwand tun, und es ist trivial, sie für Ihr benutzerdefiniertes System zu verwenden, wenn Sie eines haben.
Auf jeden Fall nur um es klar zu machen: Ja, Leute könnten alle Passwörter abfangen, einschließlich sicherer, was eine absolut schreckliche Praxis wäre.Dies sollte aber nicht die Standardannahme sein.Es gibt Lösungen, die funktionieren, ohne dass etwas Schändliches passiert.Das Durchführen solcher Passwortprüfungen ist ein Standardverfahren in Umgebungen mit hohem Risiko, und es ist großartig, dass eine Universität versucht, ihren Studenten gute Passwortpraktiken beizubringen.
@Voo Aber Sie können nicht sagen, dass jeder davon ausgehen muss, dass das, was Sie beschreiben, das ist, was passiert.Das wäre auch meine erste Vermutung, aber 1) die Frage selbst ist, was los ist und ob ihr Passwort kompromittiert ist. Der springende Punkt hier ist also, zu diskutieren, was wahrscheinlich und was möglich ist, und 2) das erste CollegeIch habe tatsächlich (möglicherweise) Klartext-Passwörter gespeichert und viele Mitarbeiter hatten direkten Zugriff, um sie nachzuschlagen - der Helpdesk hat oft nach vergessenen Passwörtern gesucht und die Leute per Telefon informiert.Ich weiß es, weil ich später Angestellter war und auch Zugang dazu hatte.
@Aaron Oh, es ist in Ordnung, die Option zu erwähnen (es ist sicherlich möglich, Knuth weiß, wie viele Organisationen schreckliche Sicherheitspraktiken haben), aber die Antwort auf mich lässt alles sehr schändlich klingen und erwähnt keine vollkommen gültigen und sicheren Alternativen.
@Voo Sie geben den Menschen zu viel Anerkennung.;) Mir wurde immer beigebracht anzunehmen, dass alle Ihre Benutzer schändlich sind (obwohl sie vielleicht nicht gut darin sind) und dass jeder, der Software entwickelt oder entwickelt, auf die Sie sich verlassen, ein Idiot gewesen sein könnte.Das war natürlich aus Sicht der Computerabteilung ... natürlich wäre es eine Katastrophe für HR-Mitarbeiter oder das obere Management, diese Mentalität anzunehmen.
@Voo, Ich persönlich verwende die Pwned Passwords-API, wenn meine Benutzer ihre Passwörter zurücksetzen, um sie zu informieren, wenn sie kompromittiert sind, und sie sollten die Wiederverwendung von Passwörtern einstellen ... Also ja, es gibt absolut gültige Gründe.Als die Frage jedoch aktualisiert wurde, sagte OP, dass sie ihr altes Passwort gesehen haben, was bedeutet, dass die Universität möglicherweise keine aktuellen Passwörter im Klartext speichert, aber sie speichern definitiv die kompromittierten Passwörter im Klartext, was auf Inkompetenz ihrerseits hinweist, also ichstehe zu der Andeutung "sie sind potenziell schändlich / inkompetent" in meiner Antwort.
Facebook macht genau das, was diese Antwort beschreibt.
#4
+20
DKNUCKLES
2019-03-06 00:53:44 UTC
view on stackexchange narkive permalink

Hier müssen einige Annahmen getroffen werden, aber ich würde mir vorstellen, dass das Universitätskennwort, auf das Sie sich beziehen, das Kennwort für ein Active Directory-Konto ist. Active Directory-Kennwörter behandeln Kennwörter in einem NTLM-Hashing-Format, die nicht gesalzen sind. Vor diesem Hintergrund hat dasselbe Kennwort in verschiedenen Umgebungen denselben Hash-Wert.

Troy Hunt bietet einen Dienst namens Pwned Passwords an, mit dem Administratoren 517 Millionen Kennwort-Hashes herunterladen können. Möglicherweise vergleicht die IT-Abteilung Ihrer Schule die Kennwort-Hashes in ihrem Active Directory mit Hashes, die in den oben genannten Daten häufig vorkommen.

Während das Speichern von Kennwörtern im Klartext geschieht Von Zeit zu Zeit (meistens in proprietären Webanwendungen) ist das oben genannte Szenario meine Annahme, wie sie festgestellt haben, dass Ihr Passwort schwach ist.

#5
+4
WoJ
2019-03-07 20:47:04 UTC
view on stackexchange narkive permalink

Das angezeigte Passwort war ein älteres (schwächeres) Passwort von mir, bei dem es sich lediglich um englische Wörter handelte, die durch Leerzeichen getrennt waren. Dies erklärt, wie sie es finden konnten.

FYI - Nein, tut es nicht. Es hängt von den Wörtern und ihrer Anzahl ab. Ein paar zufällige Wörterbuchwörter zusammengeklebt zu haben, ist eigentlich ein sehr gutes Passwort.

Ich hätte natürlich eine Verknüpfung mit der entsprechenden xkcd herstellen sollen.

Der Schwerpunkt liegt auf * zufällig * und der Annahme eines ausreichend großen Wortpools.Wenn es sich um einen grammatikalisch gültigen SVO-Satz handelt, nimmt die Entropie drastisch ab.
@Voo: ja natürlich, das ist das ganze Problem bei der Auswahl eines guten Passworts, das nicht "Passwort" oder "correchorsebatterystaple" ist.Ein gültiger Satz ist an sich kein Problem, es sei denn, Ihr Kennwortgenerierungsschema ist bekannt (= der Angreifer weiß, dass Sie korrekte Substantiv-Verb-Adverb-Sätze erstellen).* Ifindmystackoverflowanswersbrilliant * ist ein großartiges Passwort.
Der Angreifer muss es jedoch nicht * wissen *, er kann einfach gängige Muster ausprobieren, die Sie immer wieder sehen.Und wenn Sie sich häufige Kennwortlecks ansehen, werden Sie feststellen, dass die meisten Leute, die Sätze verwenden, grammatikalisch korrekte Sätze in sehr spezifischen Formaten verwenden.Siehe z.[dieses Dokument] (http://www.jbonneau.com/doc/BS12-USEC-passphrase_linguistics.pdf), das zeigt, wie dies ausgenutzt werden kann.Während "Ifindmystackoverflowanswersbrilliant" wahrscheinlich immer noch mehr als gut genug ist, trifft die im xkcd-Comic gezeigte Mathematik ** nicht ** darauf zu - die Entropie ist viel schwächer.
@Voo Sie können einen Teil der Entropie zurückerhalten, indem Sie eine Caesar-Chiffre auf Ihre Phrase anwenden, und es ist dennoch relativ einfach, sich daran zu erinnern und sie einzugeben.
@WoJ außer [jetzt, wo Sie es im Internet veröffentlicht haben] (https://security.stackexchange.com/questions/201210/why-is-gbt3fc79zmmefufj-a-weak-password) ist es nicht mehr.
#6
-9
Atul Kumar
2019-03-06 21:25:22 UTC
view on stackexchange narkive permalink

Passwörter werden nicht im Klartext gespeichert und sollten in der Praxis auf jede technische Weise verschlüsselt und gespeichert werden. Aufgrund der Einhaltung des Sicherheitsbandes können Kennwörter jedoch mithilfe verschiedener technischer Algorithmen entschlüsselt und Muster durchlaufen werden, um schwache Kennwörter zu finden. Ihre Universität muss dies getan und Sie benachrichtigt haben.

Ich glaube, der Ausdruck, den Sie suchen, ist gehasht und nicht verschlüsselt.Wenn Sie verschlüsselt meinen, dann ist das falsch, da es reversibel ist.Ich denke, Sie meinen Hash, weil Sie die Art und Weise, den Prozess umzukehren, als "verschiedene technische Algorithmen" und nicht nur als "Entschlüsselung" bezeichnen.
1: Definieren Sie * '"Sicherheitsband-Konformität' *. 2: *" verschiedene technische Algorithmen "* hat keine Bedeutung. 3: Hinweis: Sie können Ihre Frage löschen.
"Passwörter werden nicht im Klartext gespeichert" Das stimmt nicht.Das erste College, das ich besuchte, speicherte Klartext-Passwörter.Wenn der Support-Mitarbeiter seinen Helpdesk anruft, kann (und einige von ihnen) Ihnen mündlich mitteilen, wie Ihr Passwort vergessen wurde, da Helpdesk-Mitarbeiter (und viele andere) direkten Zugriff auf die Klartext-Passwörter hatten.Ich weiß, dass es bis vor mindestens ein paar Jahren noch so war.
@Aaron Darüber hinaus speichern 2019 * Tonnen * von öffentlichen Websites und Diensten Passwörter noch als Klartext. Es ist weitaus häufiger als diese Antwort vermuten lässt.
Aus dem Zusammenhang heraus meinte Atul "Passwörter sollten nicht im Klartext gespeichert werden"
Zur Verdeutlichung möchte ich nur hinzufügen, dass ein Passwort als bewährte Methode und vertrauliche Informationen niemals im Plan-Text gespeichert werden sollten. Ich habe jedoch viele Fälle gesehen, in denen dies passiert, nur weil Menschen, die entwerfen und entwickeln, sich nicht darum kümmern oder sich der Probleme bewusst sind, die es könnteAls Teil der Sicherheit und Prüfung ist dies ein viel größeres Problem, und die gesamte Anwendung oder das gesamte Produkt kann in Frage kommen. In vielen Ländern gelten unterschiedliche Datenschutzgesetze, die dies eindeutig als größeres Problem ansehen.
@AtulKumar Nur weil ein Gesetz etwas verbietet, heißt das nicht, dass es nicht passiert.Sie haben die Frage auch nicht beantwortet.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...