it-swarm.com.de

Ist "verschiedene Benutzernamen" so gut wie "verschiedene Passwörter"

Die Antworten auf diese Frage und das zugehörige xkcd haben mich gefragt: Wenn ich in jedem Dienst unterschiedliche Kontonamen verwende, kann ich dasselbe schwer zu knackende Passwort verwenden in jedem?

Ich denke, dass Cross-Site-Passwort-Hacking, a-la-xkcd, von einer Maschine durchgeführt wird, nicht von einer Person. So ist es einfach, Benutzernamen/E-Mails zu haben, die von der Website abhängig sind (zum Beispiel kommen alle an @ gregories.net adressierten E-Mails zu mir, sodass ich [email protected] als E-Mail für meine Bank haben kann). Das ist viel einfacher zu merken als eine Reihe sicherer Passwörter, aber wenn die Bank gehackt wird, funktioniert [email protected] nirgendwo anders.

Was ist das Problem damit?

39
GreenAsJade

Big-Data-Analyse bedeutet, dass Ihre verschiedenen Benutzernamen wahrscheinlich nicht so voneinander getrennt sind, wie Sie denken. Mit anderen Worten, sie sind wahrscheinlich alle als Ihre identifizierbar.

Aber vielleicht ist das größere Problem, dass wenn Ihr Passwort bei einem Angriff kompromittiert wird, es Teil einer Passwortdatenbank wird, die die Angreifer gegen andere Passwortdatenbanken verwenden können. Unabhängig von Ihren Benutzernamen gefährden sie (möglicherweise) Ihre anderen Konten, nur weil Sie bereits Ihr gemeinsames Passwort in ihrer Datenbank haben.

Neuere Angriffsvektoren verwenden häufiger heuristische Techniken und weniger Dinge wie Regenbogentabellen. Wenn jedoch ein heuristischer Ansatz Ihr Passwort gebrochen hat (und die gewonnenen Erkenntnisse in die Algorithmen zum Knacken von Passwörtern zurückgeführt wurden), wird dies das brechen Überall, wo Sie es verwendet haben, dasselbe Passwort.

Sie sind immer noch besser dran, eindeutige Passwörter für jeden Dienst zu verwenden, IMO.

60
Craig

wenn ich in jedem Dienst unterschiedliche Kontonamen verwende, kann ich dann in jedem Dienst dasselbe schwer zu knackende Kennwort verwenden?

Wenn die Kontonamen derselben Person zugeordnet werden können (d. H. Unterschiedliche Foren, gleiche Schreibweise, ähnlicher Inhalt usw.), spielt es keine Rolle, ob die Namen unterschiedlich sind. Und im Gegensatz zum Klartext oder dem Hash-Passwort werden die Benutzernamen häufig anderen Benutzern angezeigt.

Ich denke, dass Cross-Site-Passwort-Hacking, a-la-xkcd, von einer Maschine durchgeführt wird, nicht von einer Person.

Dies hängt von den Zielen des Angreifers ab. Wenn das Ziel darin besteht, so viele Konten wie möglich zu kompromittieren, haben Sie möglicherweise Recht. Wenn das Ziel darin besteht, die Identität einer bestimmten Person zu stehlen, spielt es keine Rolle, ob diese Person unterschiedliche Benutzernamen verwendet, solange diese derselben Person zugeordnet werden können.

16
Steffen Ullrich

Sie wirklich sollten nicht. Der Grund warum? Sobald ein Kennwort, das mehreren Konten gemeinsam ist, geknackt wurde, müssen Sie sie nur noch finden, um Zugriff zu erhalten. Da Kontonamen relativ öffentlich sind, sind sie weniger gut geschützt als Kennwortdaten. Ein bisschen harmlose Recherche würde dann jemandem Zugang zu den meisten oder allen Ihrer Online-Aktivitäten verschaffen.

2
Grizzled

Die Frage hier ist immer "was ist Ihr Bedrohungsmodell?" Es ist sinnlos, solche Fragen ohne einen angemessenen Kontext zu stellen, der durch ein Bedrohungsmodell vorgegeben wird. Meistens ist ein anderer Benutzername nicht so sicher wie ein anderes Passwort. In anderen Fällen, z. B. bei Spionage- oder Spionagesituationen oder bei Zwangssituationen, kann ein anderer Benutzername absolut effektiv sein.

In fast allen Fällen (mindestens 99%, wenn nicht mehr) ist ein anderer Benutzername weniger sicher als ein anderes Kennwort, da herkömmliche Sicherheitsansätze davon ausgehen, dass ein Benutzername kein Geheimnis ist, während das Kennwort ein Geheimnis ist. Dies bedeutet, dass jeder, der Ihre Anmeldeinformationen speichert, anzeigt oder verwendet, die wichtigen Informationen wahrscheinlich nicht ausreichend schützt.

Betrachten Sie als spezifisches Gegenbeispiel zu Ihrer Behauptung den Fall, in dem ein Angreifer einen Server kompromittiert hat, sodass er Zugriff auf die Datenbank mit Benutzernamen/Kennwort-Paaren mehrerer Sites hat. Nehmen wir an, alle werden nach "guten" Sicherheitsregeln gespielt: Die Passwörter sind gesalzen und gehasht, sodass keine Klartext-Passwörter verfügbar sind. Benutzernamen sind jedoch im Klartext verfügbar (dies ist sehr typisch, da es keinen Grund gibt, Daten zu hashen, die kein Geheimnis sind). Betrachten Sie nun einen Kompromiss zwischen einem dieser Server, auf dem Ihre vollständigen Anmeldeinformationen, Benutzername/Passwort, angegeben sind:

  • Wenn Sie für jeden Server unterschiedliche Kennwörter haben, kann der Angreifer feststellen, dass Sie Konten auf den anderen Servern haben. Da die Kennwörter jedoch immer noch gesalzen und gehasht sind, können sie nur sehr wenig dazu beitragen, die anderen Server anzugreifen.
  • Wenn Sie für jeden Server unterschiedliche Benutzernamen haben, durchsucht der Angreifer einfach die Liste der Benutzer und durchsucht Ihr bekanntes Kennwort mit dem richtigen Salt für jeden Benutzer, bis er eine Übereinstimmung findet. Er schaut dann in die Spalte mit dem Benutzernamen und hat Ihren "geheimen" Benutzernamen. Mit nicht mehr als ein paar Minuten Arbeit hat er Zugriff auf beide Konten.

Hinweis: Es gibt Tools, die bei solchen Angriffen helfen, selbst wenn Sie nur einfache Permutationen Ihrer Passwörter vornehmen, um sie "eindeutig" zu halten. Wir als Menschen sind nicht sehr unvorhersehbar - wir fühlen uns vielleicht schlau, wenn wir beim Eingeben eines Passworts unsere Finger um eine Stelle nach rechts bewegen, aber viele Passwort-Cracking-Suiten enthalten diese einfache Verschiebung bereits als eines der Dinge, auf die sie testen.

1
Cort Ammon

Die meisten Leute kümmern sich nicht um solche Dinge und sind nicht so paranoid wie wir. Daher verwenden sie in den meisten Diensten das gleiche Passwort (oder Variationen davon), unabhängig davon, ob es sich um ihre Bankkonten, E-Mails, Spielbenutzernamen, Forumsbenutzernamen usw. handelt Sie nennen es) und das Gleiche gilt für Benutzernamen (in Bezug auf Ihre Frage). Dies macht die allgemeine Bevölkerung unseres Planeten, die Zugang zum Internet hat, zu einfachen Zielen für Hacker, Companeis und sogar ihre eigene Familie/Freunde, da Sie, sobald Sie ein Passwort oder einen Benutzernamen gefunden haben, Variationen davon in ihren anderen Diensten und Möglichkeiten ausprobieren können Sie werden in der Lage sein, eine Übereinstimmung zu finden.

Zurück zu Ihrer Frage: Sind "verschiedene Benutzernamen" so gut wie "verschiedene Passwörter"?

Ich glaube schon. In einer Zeit, in der der Schutz der Privatsphäre immer schwieriger wird, da große Unternehmen wie Google und Microsoft bessere Wege finden und ihre Technologie verbessern, um mithilfe ihrer Werbebots alle unsere Aktivitäten zu verfolgen und uns Anzeigen zu schalten, die sich auf unsere Aktivitäten beziehen, das Beste, was wir können Machen Sie es ihnen schwerer, uns aufzuspüren. Ich glaube, dies gilt auch aus Sicherheitsgründen. Wenn Sie auf mehreren Websites denselben Benutzernamen verwenden, ist es für einen Hacker oder irgendjemanden einfacher, Sie aufzuspüren und ein vollständiges Bild aller Ihrer Aktivitäten im Internet zu erhalten. Die meisten Leute denken, dass dies kein Fehler ist schlechte Sache, aber es ist. Hinzu kommt, dass diese Art der Phyloshopie, bei der derselbe Benutzername eingegeben wird, es auch Ihren Freunden, Ihrer Familie und Ihren Kollegen erleichtert, alles, was Sie im Internet tun, durch die einfache Tatsache zu entdecken, dass Sie nicht vorsichtig genug waren, um unterschiedliche Benutzernamen zu verwenden. Dies kann je nach Situation zu ärgerlichen/peinlichen Situationen führen, da diese Personen in Ihrem realen Leben wissen, wo sie Sie in der virtuellen Welt finden können.

Beispielsweise kann ein Hacker Ihr Kennwort im von Ihnen verwendeten X-Dienst ermitteln. Möglicherweise versucht er auch zu überprüfen, ob Ihr Passwort im Y-Dienst identisch ist, da Sie in beiden Fällen denselben Benutzernamen verwenden. Auch wenn die Passwörter unterschiedlich sind, hat er möglicherweise bereits genügend Informationen über Ihren Geschmack, Ihre Wünsche und Ihr anderes Passwort gesammelt, um es zu versuchen ähnliche Übereinstimmungen. Um diese Belastung nicht zu bewältigen, können Sie am besten verschiedene Benutzernamen, Passwörter und, wenn möglich, verschiedene E-Mails oder Alias ​​verwenden, um es ihnen schwerer zu machen.

1
BrotherJoe

Der einfachste Weg, dies zu brechen, ist wahrscheinlich folgender:

  1. Bei einem Ihrer Konten ist das Passwort aus irgendeinem Grund fehlerhaft (wir können dies als gelesen betrachten, als ob dies niemals passieren würde, dann wäre es auch in Ordnung, überall denselben Benutzer/Pass zu verwenden, daher ist dies unser Ausgangspunkt).
  2. Ihr schwer zu erratendes Passwort wird in ein Passwortwörterbuch aufgenommen.
  3. Ihr (im Allgemeinen nicht als geheim und selten als lebenswichtiges Geheimnis angesehener) Benutzername wird mit dem Passwortwörterbuch versucht, in dem sich Ihr Passwort befindet.

Das ist viel einfacher zu merken als eine Reihe sicherer Passwörter

Und doch noch schwerer zu merken, als nicht zu versuchen, sich Passwörter zu merken. Möglicherweise müssen Sie jedoch Ihre Namenskonvention für Benutzernamen so ändern, dass sie den Richtlinien verschiedener Dienste entsprechen. Daher müssen Sie einen sicheren Kennwortspeicher verwenden, um diese zu verfolgen. In welchem ​​Fall würden Sie weiterhin dasselbe Passwort verwenden?

1
Jon Hanna

Es ist leicht zu überschätzen, wie interessiert Hacker daran sind, herauszufinden, wie zwei Benutzernamen passen. Wenn jemand wirklich will, kann er es herausfinden, aber die meisten Hacker kümmern sich nicht wirklich darum. Für sie sind Benutzernamen nur ein Teil eines zweiteiligen Formulars zur Bestätigung der Identität, und der einzige Grund, warum sie sich darum kümmern würden, ist, wenn es ihnen Geld bringen kann. Offensichtlich wäre eine Bank ein Hauptziel für so etwas wie Paypal oder eine E-Bank. Wenn jemand Ihren Bankbenutzernamen und Ihr Passwort erhalten kann, kann er Ihr Geld stehlen.

Aus diesem Grund ist es ein Bonus, mehrere Benutzernamen zur Auswahl zu haben. Selbst wenn sie Ihren regulären Benutzernamen und Ihr Passwort herausfinden können, müssen sie bei Null anfangen, wenn Sie einen anderen Benutzernamen und ein anderes Passwort für Ihre Bank verwenden. HINWEIS: Sie sollten weiterhin ein anderes Kennwort verwenden. Wenn sich Ihr Benutzername auf den anderen von Ihnen verwendeten Websites jedoch ausreichend von Ihrem Bankbenutzernamen unterscheidet, ist es unwahrscheinlich, dass ein Angreifer eine Verbindung zwischen den beiden herstellt.

Unterschiedliche Benutzernamen sind nur eine kleine Hürde, um sich gegen gezielte Angriffe zu verteidigen, aber sie verteidigen Sie nicht gegen einen Angreifer, der nur so viele Konten wie möglich kompromittieren möchte.

0
Nzall

Es ist sehr üblich, dass eine Site anstelle des Benutzernamens nach einer E-Mail-Adresse fragt, was zu Problemen für Sie führen kann. Wenn Sie andere E-Mails verwenden, kann dies schwierig zu verwalten sein.

Aus Sicherheitsgründen ist dies eine gute Idee und kann diejenigen Hacker verwirren, die Sie in sozialen Netzwerken oder auf anderen öffentlichen Websites kennen und versuchen, denselben Benutzernamen auf Bank- oder Paypal-Websites zu verwenden.

dies ist Teil einer Möglichkeit, wie Hacker den Benutzernamen oder zumindest den Benutzernamen erhalten, von dem sie glauben, dass er der Benutzername sein wird.

wenn es um Verschlüsselung geht, werden Passwörter beim Speichern immer verschlüsselt. Der Benutzername ist möglicherweise nicht verschlüsselt oder auf dem Bildschirm sichtbar. Daher können sie ihn leicht und dann mit dem Passwort hacken. Für das Passwort benötigen sie einen Entschlüsselungsalgorithmus, selbst wenn sie die Daten gehackt haben.

Wenn Sie einen der Werte ändern und beide verschlüsselt sind, ist dies für den Hacker gleich und beide Felder haben für ihn die gleichen Schwierigkeiten, ihn aufzuspüren.

0
friendy