it-swarm.com.de

Die Schule führt regelmäßige Passwortprüfungen durch. Ist mein Passwort manipuliert?

Meine Universität schickte mir eine E-Mail mit der Information, dass mein Passwort bei einer "regelmäßigen Überprüfung" als "leicht auffindbar und kompromissgefährdet" befunden wurde. Soweit ich weiß, sollte es für sie keine Möglichkeit geben, mein Passwort regelmäßig zu überprüfen, es sei denn, mein Passwort wurde im Klartext gespeichert. Meine Frage:

  • Ist mein Verständnis falsch oder hat meine Universität mein Passwort im Klartext gespeichert?

UPDATE: Die IT-Abteilung der Schule hat mich mit einer Seite verknüpft, auf der die verschiedenen Möglichkeiten zur Überprüfung von Passwörtern erläutert werden. Ein Teil der Seite ermöglichte es mir, die Tests auf meinem Universitätskonto auszuführen und das Passwort anzuzeigen, wenn es tatsächlich aus ihren Tests entdeckt wurde. Das angezeigte Passwort war ein älteres (schwächeres) Passwort von mir, bei dem es sich einfach um englische Wörter handelte, die durch Leerzeichen getrennt waren, was erklärt, wie sie es finden konnten. Vielen Dank an alle, die geantwortet haben.

104
Gary Blake

Dein Verständnis ist falsch. Wenn Kennwörter als stark gesalzener Hash gespeichert sind, kann der Administrator keine guten Benutzerkennwörter finden, kann jedoch diejenigen finden, die in Listen häufig verwendeter Kennwörter aufgeführt sind, indem er den Hash und das Salt auf jedes Kennwort auf dem Kennwort anwendet Liste und auf der Suche nach einem Match. Es ist jedoch viel einfacher, wenn die gespeicherten Passwörter nicht gesalzen sind, da Sie sie in diesem Fall nur einmal und nicht einmal pro Benutzer ausführen müssen. Dies möglicherweise zeigt an, dass die gespeicherten Passwörter nicht gesalzen sind , was der Best Practice widerspricht.

179
Mike Scott

Soweit ich weiß, sollte es für sie keine Möglichkeit geben, mein Passwort regelmäßig zu überprüfen, es sei denn, mein Passwort wurde im Klartext gespeichert.

Eigentlich gibt es: Knacken.

Es ist bekannt, dass Systemadministratoren Cracking-Tools (John the Ripper, Hashcat usw.) für die gehashten Kennwörter ausführen. Personen mit einfachen Passwörtern können in trivialer Zeit geknackt werden. Daher war es, wie sie es definieren, leicht zu erkennen und gefährdet, wenn sie Ihr Passwort geknackt haben.

Um diesen Artikel über John the Ripper zu zitieren:

Wie Sie sich für John entscheiden, liegt ganz bei Ihnen. Sie können es regelmäßig für alle Kennwort-Hashes auf Ihrem System ausführen, um eine Vorstellung davon zu erhalten, welcher Anteil der Kennwörter Ihrer Benutzer unsicher ist. Sie können dann überlegen, wie Sie Ihre Kennwortrichtlinien ändern können, um diesen Anteil zu verringern (möglicherweise durch Erhöhen der Mindestlänge). Möglicherweise möchten Sie Benutzer mit schwachen Kennwörtern kontaktieren und sie bitten, diese zu ändern. Oder Sie entscheiden, dass das Problem eine Art Benutzerschulungsprogramm erfordert, mit dem sie sicherere Kennwörter auswählen können, an die sie sich erinnern können, ohne sie aufschreiben zu müssen.

66
gowenfawr

Ihre Universität hat Ihr Passwort möglicherweise nicht im Klartext gespeichert. Sie haben eine sehr einfache Möglichkeit, den Klartext Ihres Passworts abzurufen, und ich vermute, dass sie mindestens ein paar Mal pro Tag Zugriff darauf haben.

Sie geben ihnen bei jeder Anmeldung Ihr Passwort als Klartext.

Wenn Sie sich bei einer von ihnen gehosteten Anwendung anmelden, z. B. einer Website zum Verwalten von Online-Klassen oder zum Überprüfen Ihrer Noten, und sie über den Quellcode für diese Online-Anwendung verfügen, können sie trivial auf Ihr Klartextkennwort zugreifen, ohne es zu speichern oder übertragen Sie es an ein anderes System und können zu diesem Zeitpunkt die Sicherheit Ihres Passworts überprüfen.

Sie können auch die Kennwortstärke überprüfen, wenn Sie sich anmelden, wenn sie einen Single-Sign-On-Dienst verwenden.

Es ist jedoch immer noch extrem fischig. Wenden Sie sich an die IT-Abteilung Ihrer Universität und stellen Sie sicher, dass Ihr Passwort sicher gespeichert ist. Stellen Sie gezielte Fragen dazu, wie sie Ihr Passwort überprüft haben.

Der Rest meines Ratschlags folgt dem Standard-Ratschlag zur Internetauthentifizierung: Klicken Sie in dieser E-Mail nicht auf Links. Wenn Sie Ihr Passwort ändern, tun Sie dies auf normalem Wege und nicht über einen Link, der Ihnen per E-Mail zugeschickt wurde. Verwenden Sie einen Passwort-Manager, um lange zufällige Passwörter zu speichern und zu generieren. (Idealerweise sollten Sie nur zwei Ihrer Passwörter kennen: dasjenige, das sich bei Ihrem Computer anmeldet, und dasjenige, das sich bei Ihrem Passwort-Manager anmeldet.) Verwenden Sie ein Passwort niemals für irgendeinen Zweck.

Fragen Sie die IT-Abteilung der Universität nach der 2-Faktor-Authentifizierung, während Sie mit ihr sprechen.

39
Ghedipunk

Es gibt einige Annahmen, die hier getroffen werden müssen, aber ich würde mir vorstellen, dass das Universitätskennwort, auf das Sie sich beziehen, das Kennwort für ein Active Directory-Konto ist. Active Directory-Kennwörter behandeln Kennwörter in einem NTLM-Hashing-Format, die nicht gesalzen sind. In diesem Sinne hat dasselbe Kennwort in verschiedenen Umgebungen denselben Hash-Wert.

Troy Hunt bietet einen Dienst namens Pwned Passwords an, mit dem Administratoren 517 Millionen Passwort-Hashes herunterladen können. Möglicherweise vergleicht die IT-Abteilung Ihrer Schule die Kennwort-Hashes in ihrem Active Directory mit Hashes, die in den oben genannten Daten häufig vorkommen.

Während das Speichern von Passwörtern im Klartext von Zeit zu Zeit geschieht (meistens in proprietären Webanwendungen), ist das oben genannte Szenario meine Annahme, wie sie sind festgestellt, dass Ihr Passwort schwach ist.

19
DKNUCKLES

Das angezeigte Passwort war ein älteres (schwächeres) Passwort von mir, bei dem es sich einfach um englische Wörter handelte, die durch Leerzeichen getrennt waren, was erklärt, wie sie es finden konnten

Zu Ihrer Information - nein, tut es nicht. Es hängt von den Wörtern und ihrer Anzahl ab. Ein paar zufällige Wörterbuchwörter zusammengeklebt zu haben, ist eigentlich ein sehr gutes Passwort.

Ich hätte natürlich auf die entsprechende xkcd verlinken sollen.

4
WoJ