Sie müssen keinen Hash brutal erzwingen, um ein Passwort zu stehlen. Eine Website kann von einem Angreifer kompromittiert werden, sodass er die Kennwörter direkt aus dem Anmeldeformular im Klartext lesen kann. Oder der Websitebesitzer tut dies, er kann es immer tun, wenn er möchte. Es liegt an Ihnen, ob Sie dem Eigentümer vertrauen oder nicht (Sie möchten nicht dasselbe Passwort auf Facebook und SomeBlackHatCommunity dot com verwenden). Außerdem gibt es immer die gute alte Schulter, die surft, um Passwörter zu stehlen. Ein Passwort ist wie ein Schlüssel, und wenn Sie dasselbe Passwort verwenden, geben Sie verschiedenen Personen tatsächlich denselben Schlüssel für verschiedene Türen. Sie können sehen, dass dies niemals eine gute Idee ist.

Daher sollten Sie niemals dasselbe Passwort an verschiedenen Orten verwenden, es sei denn, dieses Passwort schützt dieselben Daten oder gewährt Ihnen dieselben Berechtigungen Ich glaube beispielsweise, dass Sie zum Schutz Ihrer Backups dasselbe Kennwort verwenden können.

TL; DR: Ich muss IHR Passwort nicht wiederherstellen, ich muss nur eine Zeichenfolge finden, die denselben Hash generiert, und da Sie den vom Website-Entwickler verwendeten Hash nicht kontrollieren, bis alle einen sicheren verwenden , es hilft nicht so viel wie es kostet. Und wenn ich hinter Ihnen her bin, hacke ich so lange Websites, die Sie verwenden, bis ich eine schwache finde. Oder ich benutze eine andere Methode.

Relevante XKCD:

https://www.xkcd.com/936/

Denn wenn es keine relevante XKCD gibt wird es bald geben.

Die Wiederverwendung von Kennwörtern stellt ein schreckliches Risiko für Benutzer dar, da im Falle einer Datenverletzung

Nur wenn dieses Kennwort etwas schützt, das wichtig ist.

Für die allgemeine Nutzung des Internetforums habe ich einen Nom de Guerre mit einer eigenen E-Mail-Adresse und vier oder fünf Passwörtern für alles.

Diese Passwörter schützen nichts . Selbst wenn Sie das E-Mail-Konto hinter sich kompromittieren, haben Sie nur die Möglichkeit, meinen Nom de Guerre dümmer aussehen zu lassen, als er bereits aussieht.

Da die Passwörter nicht sicher genug gespeichert sind,

werden die Passwörter nicht gespeichert. Wir werden darauf zurückkommen.

Dies bedeutet, dass standardmäßig auch alle anderen Dienste, für die sie dieses Kennwort verwenden, gefährdet sind.

Genauer gesagt:

... dies bedeutet, dass standardmäßig alle anderen Dienste diese E-Mail-Adresse verwenden und Passwort sollten als kompromittiert betrachtet werden UND wenn der Angreifer Ihre andere E-Mail-Adresse kennt, sollten alle Personen, die dieses Passwort verwenden, berücksichtigt werden ...

Identität (für diese Zwecke) sind, was Sie sind (E-Mail-Adresse) und was Sie wissen (Passwort).

Wenn ich weiß, dass Sie "joebob@gmail.com" auf somerandomforum.com und wellsfargo.com UND Sie sind Verwenden Sie für alle drei abgespritzten Personen dasselbe Passwort.

Wenn Sie jedoch "joebob@gmail.com" in Webforen und Azxdreuwa@yahoo.com für Ihren "persönlichen" Gebrauch und "Alexander.Scott@yourowndomain.com" für den professionellen Gebrauch verwenden, ist dies äußerst schwierig ein algorithmischer Angreifer, um sie zu sortieren.

Normalerweise speichern sie bei diesen Verstößen das Kennwort nur mit einem Hashing-Algorithmus wie SHA-1 oder in einigen Fällen sogar noch mit MD5.

Ich kenne Sie Ich weiß das und bin schrecklich pedantisch, aber im Allgemeinen speichern wir keine Passwörter . Wenn es sich um SHA-1 oder MD5 oder einen anderen Hash handelt (einschließlich der armen, toten "Krypta" oder der neuesten ununterbrochenen auf dem Block), gibt es keinen nachweislich zuverlässigen Roundtrip vom Hash zum Passwort.

Sie können und können nicht von eaf4c33ae978d3f2852021214a061534 zu "Fred ist tot" gelangen. Möglicherweise können Sie zwei oder mehr Zeichenfolgen mit unbestimmter Länge für denselben Hash erstellen. Sie können Zeichenfolgen generieren, bis sie übereinstimmen. Das ist anders und es ist ein kritischer Unterschied. Und auch dafür ist es entscheidend.

(die niemals zum sicheren Speichern von Passwörtern gedacht waren), was es Angreifern erleichtert, Passwörter mit nur roher GPU-Hash-Leistung zu erzwingen.

Was für eine reine Zeit- und Stromverschwendung, die VIEL besser für den Münzabbau von $ {WHATEVER} ausgegeben werden würde. Sie werfen so lange Zeichenfolgen auf den Algorithmus, bis Sie eine Übereinstimmung erhalten.

Vorberechnete Regenbogentabellen sind VIEL schneller, wenn Sie die fünf Millionen E-Mail-Eupertitel: Name: Kennwort-Tupel, die Sie gerade aus BigWebSiteInc extrahiert haben, erhalten Viel mehr Ergebnisse viel schneller.

Und ja, wissen Sie, dass GPUs das nicht sehr schnell berechnen können. Aber Suchvorgänge sind viel schneller und ich werde VIELE Passwörter brechen wollen, nicht nur Ihre.

Wenn ich IHRE Anmeldeinformationen haben möchte, habe ich andere Möglichkeiten, sie zu erhalten, und wenn ich sie schlecht genug haben möchte ... Ja, das ist wahrscheinlich kein Forum, das Stack Exchange hosten möchte. Sicherheit und Kryptographie haben viele Aspekte, die nur einige von ihnen schützen.

Wenn eine Person ein richtig zufälliges Passwort mit ausreichender Länge (z. B. 100+) und sehr ausreichender Entropie erstellen sollte, das gemischt wird mit vielen Arten von

Wahre Geschichte. Vor etwas mehr als einem Jahrzehnt war ich in den Reserven des US-Militärs und sie haben (hatten?) Ein System, in dem Ihr Militärausweis Teil Ihrer Anmeldeinformationen für Ihr Netzwerkkonto war. Um sich bei den meisten Computern anzumelden, mussten Sie Ihren Militärausweis in einen Chipkartenleser und Ihre "PIN-Nummer" eingeben.

Irgendwann bekam ich einen neuen Ausweis, für den ein neuer erforderlich war STIFT. Also ging ich zur Pin-Eingabe und gab eine 10-stellige IIRC-Nummer in die Tastatur ein und steckte sie dann wieder ein. Es hieß, meine PIN stimmte überein und ich ging.

Ich bin zu meinem Gerät zurückgekehrt und habe versucht, mich anzumelden. Fehler.

Also ging ich zurück. Ein paar Mal. Wir waren verwirrt. Dann habe ich die PIN gekürzt und es hat funktioniert.

Die PIN war auf 8 oder 9 Zeichen begrenzt (oder was auch immer. Es war $ MY_NUM-2). Das ERSTE Eingabesystem verwarf stillschweigend die zusätzlichen Nummern. Der zweite war nicht, was zu einem Missverhältnis führte. (Oder umgekehrt)

ISTR In der SAMBA-Readme-Datei finden Sie einige Informationen zur frühen Version der Kennwortdatenbank von NT, in der der Hash in zwei Teilen gespeichert ist, da in alten LANMAN (??) -Materialien nur Kennwörter mit 8 Zeichen verwendet wurden. Ich bin mir nicht sicher, wie das funktioniert hat.

In einigen Fällen hat der Workflow vom Eingabebildschirm bis zur Kennwortspeicherung eine begrenzte Anzahl von Zeichen, andere nicht. Dies kann sich ändern, wenn verschiedene Websites ihre Software ändern. Heck, es könnte auf verschiedenen Teilen eines Verbundsystems unterschiedlich sein. Sie möchten sicherstellen, dass Ihre Erwartungen nicht überschritten werden.

Symbole, Zahlen und Buchstaben; Für den Fall, dass der Computer nicht in dem Sinne kompromittiert wird, dass ein Keylogger oder ähnliches installiert ist und alle Browsersitzungen über einen verschlüsselten Tunnel durchgeführt werden, besteht das Risiko, dass dieses Kennwort für mehrere Websites wiederverwendet wird, wenn dies möglicherweise niemals möglich ist in ihrem Leben geknackt werden, wenn bei einem der von ihnen verwendeten Dienste ein Datenverstoß aufgetreten ist?

Ehrlich gesagt verwende ich für Hochsicherheitsanwendungen (z. B. Schutz von SSH-Schlüsseln usw.) die ersten paar Strophen von ein paar gut erinnerte Lieder. Mindestens einer von ihnen hat einen versehentlichen Rechtschreibfehler, der dauerhaft in meiner Brane fixiert ist.

Die Sache ist, dass ich, wenn ich mir eine ID ansehe: pw-Hash in einem Passwortspeicher (Datei, Datenbank, was auch immer), am einfachsten zu brechen möchte, was ich kann. Ich möchte nicht, dass der Typ, der einen starken Schlüsselspeicher verwendet und für jede andere Site ein anderes Passwort hat, nur die niedrig hängenden Früchte. Dies sind diejenigen, die Passwörter am wahrscheinlichsten wiederverwenden.

Also ja, es macht Ihr Passwort sicherer, modulo ein paar Dinge.

Sie können den am anderen Ende verwendeten Hash nicht auswählen, und solange Benutzer "kaputte" Hashes (md5, SHA-1 usw.) verwenden, können Sie mehr als erhalten Eine Zeichenfolge, die dem Hash entspricht. Solange eine von Ihnen verwendete Website weiterhin Kennwörter in einem fehlerhaften Hash speichert, sind Sie anfällig.

Deshalb war ich pedantisch. Wir speichern keine Passwörter, wir speichern einen Hash des Passworts und ich muss IHR Passwort nicht wiederherstellen, ich muss nur eine Zeichenfolge finden, die das generiert gleicher Hash.

Es kann sein, dass Ihre 100-Zeichen-Zeichenfolge, die aus der Ausgabe des feinsten weißen Zahlengenerators besteht, einfach mit dem Hash von "Fred ist tot" übereinstimmt, und dann haben Sie hat verloren.

Das kommt dazu, dass jemand eine Kamera aufstellt, mit der Sie tippen können, und einen MITM-Angriff auf Ihre SSL-Sitzung ausführt (das ist ungefähr die Hälfte der großen Unternehmen, bei denen ich in den letzten Jahren gearbeitet habe - sie machen das auch ihren Proxyserver für DLP), hackt die Website, um zusätzlichen Code in ihre Anmeldeseite einzufügen, oder einen von einem Dutzend anderen Hacks.

Oder legen Sie einfach eine Waffe an Ihr Knie. Oder grausigere Methoden.

Die Verwendung von Wegwerfkennwörtern zum Wegwerfen von Daten, mehreren Online- "Identitäten" und einer ausreichend sicheren Schlüsselspeicherung für wichtige Dinge ist wahrscheinlich der beste Weg. Dies ist eine Art "Tiefenverteidigung" und ziemlich einfach (zum Teufel, ich kann es schaffen, es kann nicht so schwer sein).

Um etwas anzusprechen, wird @IMSoP als Kommentar angezeigt.

Der tatsächlich gespeicherte Hash ist normalerweise das Passwort + ein Hash. Daher ist es unwahrscheinlich, dass Ihr bevorzugtes unsicheres Webforum und Ihre Bank denselben Hashing-Algorithmus und denselben Salt verwenden. Sie könnten, aber unwahrscheinlich.

Ein sekundärer Punkt ist jedoch, dass für JEDE Site, die einen unsicheren Hash verwendet - und das sind VIELE von ihnen (siehe eine andere wahre Geschichte unten), ein Angreifer eine Zeichenfolge abrufen kann, die Hashes zu dem, was gespeichert ist, und interagieren dann mit dieser Site, während Sie.

Dies führt zwar zu Problemen mit der "Wiederverwendung von Passwörtern", behebt jedoch das Problem mit sehr langen Passwörtern. Es ist wie in ... ähm ... anderen Bereichen des Lebens. Eine bestimmte Menge ist gut, mehr ist besser, aber zu viel wird Probleme verursachen.

In Bezug auf die Verwendung von "unsicheren" Hashes sorgen sich Unternehmen am meisten um Klagen, zweitens um Werbung und schließlich um die Sicherheit. Ein Freund von mir hat ein Patent auf einen ziemlich sicheren Speichermechanismus, der (unter anderem) die Sicherheit für Laptops und Desktops erheblich erhöhen würde. Er hat versucht, ein paar große Unternehmen daran zu beteiligen, und jeder, an den er sich gewandt hat, hat dasselbe angegeben - dass ihre derzeitige Sicherheit sowohl den "gängigen Branchenpraktiken" als auch den gesetzlichen Standards entspricht, sodass sie nicht an darüber hinausgehenden Kosten interessiert sind . Sie sind ihrer Meinung nach "prozessbeweis" und sorgen sich deshalb viel weniger um Werbung.

Aus diesem Grund haben Banken entschieden, dass das Stellen einer dummen Frage "Drei-Faktor-Authentifizierung" und andere eindeutig fragwürdige Sicherheitspraktiken sind.

Dies bedeutet, dass ihre Hashing-Algorithmen das sind, was mit dem Betriebssystem geliefert wurde, als es installiert wurde . Denn das ist die "branchenübliche Praxis".

Ein 16- oder 20-stelliges Passwort, das in einem sicheren Passwort-Tool gespeichert ist, ist unter diesen Bedingungen genauso gut wie ein 100-stelliges Passwort .

Um es wieder in den Griff zu bekommen, bin ich nicht so gegen die Wiederverwendung von Passwörtern wie einige hier - ich habe mehrere Heimcomputer, auf denen ich dasselbe Passwort teile (und einige, die unterschiedlich sind), aber ich duplizieren Sie niemals einige von ihnen (meine persönlichen, beruflichen und geschäftlichen E-Mail-Konten, Bankkennwörter usw.). Nur das Risiko nicht wert.

Normalerweise verwendet eine Website eine schwache Hashing-Funktion zum Speichern von Kennwörtern. Sind Sie jedoch bereit zu sagen, dass keine der von Ihnen verwendeten Websites das Kennwort verschlüsselt oder im Klartext im Klartext speichert?

Durch die Wiederverwendung eines Kennworts ist Ihre Sicherheit nur so hoch wie die der schwächsten Websites, auf denen Sie es verwenden. Es spielt keine Rolle, wie lang oder kompliziert Ihr Kennwort ist, wenn ein Angreifer es einfach aus dem Kennwortänderungsprotokoll eines schlecht gestalteten Servers ablesen kann.

Sie gehen von einem perfekten System mit

aus, falls der Computer nicht in dem Sinne kompromittiert wird, dass ein Keylogger oder ähnliches installiert ist und alle Browsersitzungen über ein System durchgeführt werden verschlüsselter Tunnel,

oder zumindest nehme ich an, dass Sie dies tun - dieser verschlüsselte Tunnel sollte besser gut sein.

Aber Sie haben keine Kontrolle über den Server, auf dem sich Ihr Passwort befindet . Sogar Unternehmen, die es besser wissen sollten, haben kürzlich ihr Passwortsystem durcheinander gebracht: GitHub und Twitter haben Klartext-Passwörter intern protokolliert oder zwischengespeichert.

Es gibt auch keine Vorteil - Sie werden sich dieses Passwort nie merken, also speichern Sie es in einem Passwort-Manager. An diesem Punkt können Sie auch eindeutige Kennwörter verwenden (die kürzer sind, falls Sie sie jemals erneut eingeben müssen).

Auf Websites finden Sie verschiedene Lösungen für das Passwort-Hashing: Speicherintensive Funktionen wie Argon2 oder Scrypt, benutzerdefinierte Hardware-anfällige, aber zumindest gesalzene Funktionen wie PBKDF2, einfache Hash-Funktionen ohne Salt- und Work-Faktor und - leider nicht so selten - auch Speicherung oder Übertragung von Klartext-Passwörtern.

Sobald ein Kennwort kompromittiert wurde, wird es möglicherweise in Kennwortlisten angezeigt, die zum Angriff auf andere Websites verwendet werden. Das Problem bei der Wiederverwendung von Kennwörtern besteht also darin, dass die Sicherheit durch die schwächste Funktion festgelegt wird und wenn irgendwo Klartext gespeichert wird. Die Sicherheit ist auf Null gesunken, selbst für tatsächlich sichere Passwörter.

Die Wiederverwendung von Passwörtern birgt das Risiko, auch wenn Ihr Passwort sehr sicher ist. Wenn eine Website verletzt wird, auf der Passwörter im Klartext gespeichert sind, steht Angreifern Ihr sicheres Passwort zur Verfügung, ohne dass Hashes brutal erzwungen werden müssen. Mit anderen Worten, wenn Sie Ihr sehr sicheres Passwort auf einer Website verwenden, auf der Passwörter im Klartext gespeichert sind, wird durch die Stärke Ihres Passworts nichts erreicht.

Leider speichern viele Websites Passwörter im Klartext und dies geschieht nicht immer sofort Es ist offensichtlich, ob eine Website dies tut oder nicht. Es ist daher nicht sicher, ein sehr sicheres Kennwort unter der Annahme wiederzuverwenden, dass der Hash nicht brutal erzwungen wird, da er möglicherweise immer noch im Klartext gespeichert (und verletzt) ​​wird.

TL; DR : Das Knacken von Passwörtern ist nicht die einzige Sicherheitsüberlegung bei der Wiederverwendung von Passwörtern. Das Teilen eines Passworts mit mehreren Sites bedeutet, dass bei Problemen mit den anderen Sites / Ihrem Computer / Ihrem Netzwerk abgesehen von knackbaren Passwörtern immer noch ein Risiko besteht.

Einige gute Antworten Hier bereits, aber nur um ein paar weitere Überlegungen und eine Zusammenfassung hinzuzufügen.

Ihre Frage setzt viele Aussagen voraus, die die meisten Menschen nicht kontrollieren können:

ihre Maschine wird nicht in dem Sinne beeinträchtigt, dass ein Keylogger oder ähnliches installiert ist.

Vergessen Sie nicht auch die Netzwerksicherheit. Überprüft Ihr verschlüsselter Tunnel, dass es sich nicht um MITMd handelt? Was ist mit HTTPS-Problemen, einer kompromittierten Zertifizierungsstelle? Ein weiteres Szenario im HEARTBLEED-Stil, bei dem der gesamte Datenverkehr zur Site kompromittiert wurde, weil das Zertifikat aus der Site gehackt wurde? Auch wenn ich jetzt einen Keylogger geschrieben habe, können Sie ihn nicht unbedingt erkennen, es sei denn, es gibt eine große Anzahl von Infektionen. Melden Sie sich auf anderen Computern an, die andere verwendet haben? Lassen Sie andere Leute Ihre Maschinen benutzen? Wie wäre es mit mobilen Geräten? Aktualisieren Sie Ihren Computer regelmäßig? Was ist, wenn ich sehe, wie Sie Ihr Passwort an einem öffentlichen Ort mit Videoüberwachung eingeben? Hardware-Keylogger? Böser Dienstmädchenangriff?

..Ich denke, das ist alles eine große Annahme ...

Besteht das Risiko, dieses Passwort für mehrere Websites wiederzuverwenden, wenn dies möglicherweise niemals möglich ist in ihrem Leben geknackt werden, wenn bei einem der von ihnen verwendeten Dienste ein Datenverstoß aufgetreten ist?

Kürzlich wurde bekannt, dass Twitter die Kennwörter möglicherweise sicher speichert, ihre Protokollierungsfunktion jedoch verloren hat. Sie müssen auch einige andere implementierungsspezifische Schwachstellen in der gesamten Implementierung der Site ausschließen.

Sie weisen im Vorwort auf unsichere Websites hin, daher gehe ich davon aus, dass Sie auch davon ausgehen, dass alle Websites, auf denen Sie dieses Kennwort verwenden, das Sie kennen, das Kennwort auch sicher sichern. Woher weiß ich das für die meisten Websites, die ich online benutze? Ich werde es nicht tun und selbst wenn sie sagen , dass sie Passwörter sicher hashen, gibt es keine Garantie dafür.

Verwenden Sie unterschiedliche Passwörter für verschiedene Websites. Verwenden Sie einen Passwort-Manager, KeePass ist ziemlich gut :-).

Sie gehen davon aus, dass keine der von ihnen besuchten Websites feindlich eingestellt ist. Wenn ich mich auf einer Website registriere und ihnen meine E-Mail-Adresse gebe und für diese Website dasselbe Passwort verwende wie für meine E-Mail-Adresse, können sie sich in meine E-Mail einloggen.

Etwas, das Mark Zuckerberg tatsächlich gesteht, als er es getan hat Facebook starten.

Wenn eine Person ein richtig zufälliges Passwort mit ausreichender Länge (z. B. 100+) und sehr ausreichender Entropie erstellen sollte, das mit vielen Arten von Symbolen, Zahlen und Buchstaben gemischt wird; Für den Fall, dass der Computer nicht in dem Sinne kompromittiert wird, dass ein Keylogger oder ähnliches installiert ist und alle Browsersitzungen über einen verschlüsselten Tunnel durchgeführt werden, besteht das Risiko, dass dieses Kennwort für mehrere Websites wiederverwendet wird, wenn dies möglicherweise niemals möglich ist in ihrem Leben geknackt werden, wenn bei einem der von ihnen verwendeten Dienste ein Datenverstoß aufgetreten ist?

Hier gibt es einige Probleme. Erstens sind die von Ihnen vorgeschlagenen Passwörter viel zu lang. Es gibt ungefähr 2 ^ 6.6 druckbare ASCII-Zeichen. Ein einheitliches Zufallskennwort mit 20 Zeichen ist daher für die 128-Bit-Sicherheit ausreichend, und ein Zeichen mit 39 Zeichen ist für 256 Bit ausreichend. Starke Passphrasen könnten möglicherweise in das Gebiet mit mehr als 100 Zeichen gelangen, aber ihre Stärke hat wenig mit der Anzahl der Symbole oder Buchstaben zu tun.

Das zweite und größere Problem besteht darin, dass Sie den Site-Implementierern unnötiges Vertrauen schenken . Wenn keine der Websites jemals einen Fehler aufweist, der es einem Angreifer ermöglicht, das Kennwort wiederherzustellen, dann ja, ist es sicher, das Kennwort wiederzuverwenden Passwort. Das Problem ist, dass dies ein großes "Wenn" ist. Selbst für eine Website, die ein gutes Passwortspeichersystem entwickelt hat, ist es sehr einfach, Ihre Passwörter versehentlich offenzulegen. Betrachten Sie diesen jüngsten Twitter-Vorfall (von Anfang dieses Monats):

Heute hat Twitter eine Warnung an Benutzer ausgegeben, in der sie aufgefordert werden, ihre Kennwörter zu ändern, nachdem einige Benutzer festgestellt haben 'Passwörter wurden im Klartext in einer Protokolldatei aufgezeichnet, auf die nur Twitter-Mitarbeiter zugreifen können.

[...] Aufgrund eines Codierungsfehlers erklärte Agrawal jedoch: "Passwörter wurden vor Abschluss des Hashing-Prozesses in ein internes Protokoll geschrieben. Wir haben diesen Fehler selbst gefunden, die Passwörter entfernt und Pläne zur Verhinderung dieses Fehlers implementiert nicht wieder vorkommen. "

Dies ist ein sehr einfacher Fehler, den ein Programmierer machen muss. Sie werfen einfach ein -Protokoll (LogLevel.DEBUG, "loginRecord = {}", loginRecord) oder ähnliches in Ihr Programm ein, und jemand anderes aktiviert versehentlich die Debug-Protokollierung in der Produktion. Multiplizieren Sie dies jetzt mit Tausenden von Programmierern über Tausende von Tagen auf Dutzenden von Websites, und die Würfel sind sehr gegen Sie. Verwenden Sie Passwörter nicht wieder. Verwenden Sie einen Passwort-Manager.

Ändern der ursprünglichen Idee

Eine Änderung Ihrer Idee kann jedoch ziemlich sicher sein. Angenommen, Sie generieren 64 zufällige Datenbytes und speichern diese in einer Datei. Anschließend wählen Sie ein "Hauptkennwort" aus, das Sie niemandem mitteilen, und verwenden dieses Kennwort, die gespeicherte Datei und den Namen der Site, um ein ortsspezifisches Passwort zu generieren:

(Echo) Super-Secret-Passwort; Katzentest-Rand; Echo amazon.com) | md5sum | sed 's /. * $ //' | xxd -r -p | base64

Die obige Befehlszeile erzeugt immer das Passwort Tj02tXSPT + cQvN + 79QqtjA == aus der bestimmten zufälligen Datei, die ich erstellt habe, aber wenn ich amazon in google ändere wird stattdessen oX9uOqM0 / wUaNzUlTMUcfg == erzeugt.

Wenn ich das Hauptkennwort falsch eingebe, erhalte ich als Ausgabe etwas völlig anderes, aber solange ich es richtig eingebe Ich erhalte immer die gleiche Ausgabe für dieselbe Site, aber unterschiedliche Ausgaben für jede unterschiedliche Site. Jetzt hat niemand mehr die "Schlüsseldatei" und das Hauptkennwort (eine Art Zwei-Faktor-Authentifizierung), die zum Generieren der standortspezifischen Kennwörter erforderlich sind. Wenn Amazon kompromittiert ist, ist mein Google-Passwort nicht. Die Passwörter enthalten jeweils 128 Zufallsbits, die für fast alles gut genug sein sollten.

Die Wiederverwendung von Passwörtern ist immer eine Risikobewertung. In der Praxis ist die Wiederverwendung von Passwörtern eine Tatsache, und es stellt sich die Frage, wo welcher Satz verwendet werden soll.

Die eigentliche Antwort auf Ihre Frage lautet jedoch, dass es viele Möglichkeiten gibt, ein Passwort zu kompromittieren und Brute-Forcing durchzuführen ist eigentlich die am wenigsten wahrscheinliche. Es gibt Sniffer, Keylogger, MitM, kompromittierte Server, verschiedene Formen von XSS und anderen Webangriffen, Schulter-Surfen und wahrscheinlich ein Dutzend andere Wege zu Ihrem Passwort, und für viele von ihnen spielt die Komplexität oder Länge des Passworts keine Rolle.

Es gibt viele Möglichkeiten, wie ein Passwort kompromittiert werden kann. Die Verwendung von nicht knackbaren Passwörtern trägt bestenfalls nicht dazu bei, das Risiko von Kompromissen auf andere Weise zu verringern. In Wirklichkeit verschlimmert es andere Schwächen.