Wenn eines Ihrer Passwörter gefährdet ist, bedeutet dies automatisch, dass auch Ihre anderen Passwörter gefährdet sind? Zwar gibt es eine Menge Variablen, aber die Frage ist ein interessanter Blick darauf, was ein Passwort anfällig macht und was Sie tun können, um sich selbst zu schützen.

Die heutige Question & Answer-Sitzung wird von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-Gruppe von Q & A-Websites.

Die Frage

Superuser-Leser Michael McGowan ist neugierig, wie weitreichend die Auswirkung einer einzigen Passwortverletzung ist. er schreibt:

Suppose a user uses a secure password at site A and a different but similar secure password at site B. Maybe something like mySecure12#PasswordA vor Ort A undmySecure12#PasswordB vor Ort B (verwenden Sie eine andere Definition von "Ähnlichkeit", wenn dies sinnvoll ist).

Nehmen Sie dann an, dass das Kennwort für Site A irgendwie gefährdet ist. Möglicherweise ein böswilliger Mitarbeiter von Site A oder ein Sicherheitsleck. Bedeutet dies, dass das Passwort von Site B auch tatsächlich manipuliert wurde, oder gibt es in diesem Zusammenhang keine "Passwortähnlichkeit"? Macht es einen Unterschied, ob der Kompromiss auf Site A ein Klartextleck oder eine Hash-Version war?

Sollte sich Michael Sorgen machen, wenn seine hypothetische Situation eintritt?

Die Antwort

SuperUser-Mitwirkende halfen bei der Lösung des Problems für Michael. Superbenutzer Queso schreibt:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Ein anderer Superuser-Mitwirkender, Michael Trausch, erklärt, dass die hypothetische Situation in den meisten Situationen nicht besonders besorgniserregend ist:

To answer the last part first: Yes, it would make a difference if the data disclosed were cleartext vs. hashed. In a hash, if you change a single character, the entire hash is completely different. The only way an attacker would know the password is to brute force the hash (not impossible, especially if the hash is unsalted. see rainbow tables).

As far as the similarity question, it would depend on what the attacker knows about you. If I get your password on site A and if I know you use certain patterns for creating usernames or such, I may try those same conventions on passwords on sites you use.

Alternatively, in the passwords you give above, if I as an attacker see an obvious pattern that I can use to separate a site-specific portion of the password from the generic password portion, I will definitely make that part of a custom password attack tailored to you.

As an example, say you have a super secure password like 58htg%HF!c. To use this password on different sites, you add a site-specific item to the beginning, so that you have passwords like: facebook58htg%HF!c, wellsfargo58htg%HF!c, or gmail58htg%HF!c, you can bet if I hack your facebook and get facebook58htg%HF!c I am going to see that pattern and use it on other sites I find that you may use.

It all comes down to patterns. Will the attacker see a pattern in the site-specific portion and generic portion of your password?

Wenn Sie befürchten, dass Ihre aktuelle Kennwortliste nicht uneinheitlich und zufällig genug ist, empfehlen wir Ihnen dringend, unseren umfassenden Leitfaden zur Sicherheit von Kennwörtern zu lesen: Vorgehensweise beim Wiederherstellen, nachdem Ihr E-Mail-Kennwort beeinträchtigt wurde. Wenn Sie Ihre Kennwortlisten so überarbeiten, als ob die Mutter aller Kennwörter, Ihr E-Mail-Kennwort, gefährdet ist, können Sie Ihr Kennwort-Portfolio schnell auf den neuesten Stand bringen.


Haben Sie etwas zur Erklärung hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.

Top-Tipps:
Kommentare: