Ich habe immer mehr gehört, dass die haveibeenpwned Passwortliste eine gute Möglichkeit ist, um zu überprüfen, ob ein Passwort stark genug ist, um verwendet zu werden oder nicht.
Ich bin verwirrt von Dies. Ich verstehe, dass die Liste der Konten von Konten stammt, die kompromittiert wurden, sei es, weil sie im Klartext gespeichert wurden, eine schwache Chiffre verwenden oder aus einem anderen Grund. Dies scheint für mich wenig mit der Passwortstärke zu tun zu haben. Es könnte sehr sichere Passwörter geben, die im Klartext gespeichert und somit kompromittiert wurden und deren Verwendung wirklich in Ordnung wäre, solange sie nicht in Kombination mit der ursprünglichen E-Mail / dem ursprünglichen Benutzernamen verwendet werden. Die Tatsache, dass ihre Hashes bekannt sind (duh, der Hash eines bestimmten Passworts ist bekannt!), Spielt keine Rolle, wenn der Ort, an dem Sie sie speichern, gesalzen ist. Obwohl es wirklich nicht schadet, diese Passwörter auszuschließen, würde ein Hacker vielleicht mit dieser Liste beginnen, wenn er brutal forciert, und es ist einfach, eine andere zu wählen.
Aber das Gegenteil ist, was mich betrifft - Es wird immer sehr einfach sein, Passwörter zu knacken, die nicht auf der Liste stehen. "longishpassword" hatte zu diesem Zeitpunkt noch kein Konto mit diesem Passwort, das von einem Leck betroffen war. Dies bedeutet jedoch nicht, dass dieses Passwort sicher wäre, wenn ein Leck von Hashes auftreten würde. Es wäre sehr leicht zu brechen.
Was ist der Grund für das Überprüfen eines Passworts (ohne E-Mail / Benutzername) anhand der Liste, um festzustellen, ob es für die Verwendung geeignet ist? Ist dies eine gute Verwendung der Liste oder ist sie falsch?
Bearbeiten:
Es ist viel zu spät, um den Umfang der Frage jetzt zu ändern, aber ich wollte nur klar sein Diese Frage wurde aus der Perspektive gestellt, die Passwörter anderer Personen zu überprüfen (z. B. wenn Benutzer sich auf Ihrer Website registrieren oder Personen in Ihrer Organisation AD-Konten erhalten), um die Stärke eines persönlichen Passworts nicht zu überprüfen. Kommentare mit der Aufschrift "Verwenden Sie einfach einen Passwort-Manager" waren für mich nicht hilfreich.