it-swarm.com.de

Beeinträchtigt das Speichern alter Passwörter bei Facebook die Sicherheit?

Facebook speichert alte Passwort-Hashes (zusammen mit dem alten Salt). Wenn Sie versuchen, sich mit einem vorherigen Passwort anzumelden, teilt Facebook Ihnen mit, dass Sie das Passwort aktualisiert haben (und wann). Schöne Benutzererfahrung. Außer diese Seite ist nicht x.stackexchange.com .

Welche Sicherheitsbedrohungen sind damit verbunden?

Siehe auch über Facebook, in dem alte Passwörter gespeichert werden hier und hier .

35
dave

Die anderen Antworten sehen ziemlich vernünftig aus, aber ich wollte ein paar Möglichkeiten hinzufügen.

Wenn ein Angreifer eines oder mehrere Ihrer Passwörter nach anderen Verstößen wiederherstellt, kann das Einstecken in die Benutzeroberfläche von Facebook zumindest einige Arten von Informationen enthalten:

  • Gibt an, ob Sie das Kennwort für mehrere Dienste verwendet haben oder nicht.
  • Mit bekannten Offenlegungsterminen für den Verstoß können sie auch einen Datenpunkt darüber erhalten, wie lange Sie für die Aktualisierung des Kennworts gebraucht haben.

Wenn der Mustervergleich bei wiederhergestellten Passwörtern auf einen wahrscheinlichen Iterator oder ein Mutationsmuster in Ihrem Passwort hindeutet, scheint es auch so, als könnte ein Angreifer auch ein oder zwei Passwörter ausprobieren, die er nicht gesehen hat, um oder zu unterstützen widerlegen Sie eine These darüber, wie sich Ihre Passwörter im Laufe der Zeit entwickeln.

Ich würde vermuten, dass jeder Angreifer in Bezug auf die Anzahl solcher Tests, die er versuchen könnte, ohne dass es jemand merkt, etwas eingeschränkt ist, aber es scheint, als könnten Informationen in dieser Richtung die Heuristik darüber informieren, wie bekannte Benutzer ihre Passwörter ändern, Statistiken darüber verbessern, wie häufig unterschiedliche Aktualisierungsmuster sind, und Helfen Sie dabei, Prioritätslisten der Benutzer/Konten zu verbessern, die am anfälligsten sind.

Dies scheint auf individueller Ebene ein relativ geringes Risiko zu sein, aber es scheint auch so, als ob ( Martin Bos 'Beitrag über das Knacken von Hashes in der LinkedIn-Verletzung lehrreich ist) kleine heuristische Verbesserungen zu hübschen Hebeln für die Wiederherstellung weiterer Passwörter werden in einem großen Bruch bei gleichzeitiger Verbesserung der Heuristik/Hebel.

33
abathur

Dies geschieht auch durch Systeme, die Sie daran hindern, Kennwörter wiederzuverwenden. Wenn Sie beispielsweise in Windows monatliche Kennwortänderungen benötigen und kein Kennwort aus dem letzten Jahr erneut verwendet werden muss, enthält die Kennwortdatei Ihren aktuellen Kennwort-Hash + die 11 vorherigen.

Es ist ein Sicherheitsrisiko, wenn die Passwort-Hashes in die falschen Hände geraten und geknackt werden, wenn jemand sein vorheriges Passwort auf anderen Websites verwendet hat. Ein Benutzer kann vernünftigerweise erwarten, dass ein Kennwort aus der Datenbank entfernt wird, nachdem er es geändert hat.

6
Mark Koek

TL; DR Das Sicherheitsrisiko wird nur im Falle einer Datenbankverletzung erhöht, wenn die älteren Passwörter auf einem schwächeren Arbeitsfaktor gespeichert sind

Eine weitere Sache ist der direkte Diebstahl eines Passworts über einen Virus auf dem Computer des Opfers. Es könnte hilfreich sein, sicher zu wissen, dass das Passwort einmal gültig war, und dann einige Variationen davon auszuprobieren. Dies hätte jedoch nur begrenzte Auswirkungen, da für diesen Angriff wahrscheinlich Online Brute Force erforderlich ist, was wahrscheinlich fehlschlagen wird.


Eine Site von dieser Bedeutung sollte bereits einen Secure Password Hash wie BCrypt mit entsprechendem Salt & Pepper verwenden.

In diesem Fall müsste der Angreifer, wenn die Hashes kompromittiert werden, als nächstes eine Vielzahl möglicher Kennwörter brutal erzwingen, damit das ursprüngliche Kennwort ermittelt werden kann. Dies kann lange dauern, wenn das Kennwort eine angemessene Entropie aufweist. Einige Benutzer sind jedoch faul und verwenden einfache Kennwörter. Diese werden zuerst geknackt.

Es gibt zwei Arten von Brute Force.

  1. Online Brute Force, die Sie normalerweise nicht weit bringt. Auf den öffentlichen Servern der Site sollten Sie nur eine begrenzte Anzahl von Kennwörtern in einem bestimmten Zeitraum vor der Präsentation von Captcha ausprobieren können, wodurch die Anzahl der möglichen Kennwörter, die versucht werden können, stark eingeschränkt wird.

    Es sollten auch zusätzliche Sicherheitsebenen vorhanden sein. Wenn beispielsweise weiterhin genügend von Captcha autorisierte Versuche fehlschlagen, sollten sie das Konto sperren oder diese IP blockieren.

    Es gibt also wahrscheinlich kein zusätzliches Sicherheitsrisiko für diese Art von Angriff.

  2. Offline Brute Force ist, wenn die Datenbank komprimiert ist und die Hashes gestohlen werden. In diesem Fall lecken nicht nur die neuesten Hashes, sondern auch die älteren, da diese, wie Sie sagen, nicht gelöscht wurden.

    In diesem Fall besteht auch kein zusätzliches Sicherheitsrisiko, da das Knacken der älteren Hashes keinen Zweck erfüllt.

    Eine Ausnahme ist, wenn der Arbeitsfaktor angepasst wurde. Die älteren Passwörter können auf einem schwächeren Arbeitsfaktor gespeichert werden. In diesem Fall würde der Angreifer zuerst das ältere knacken und dies als möglichen Hinweis zum Knacken des neuesten Passworts verwenden.

    Sobald ein Offline-Hash brutal erzwungen wird, wird dieses Kennwort von einem Angreifer verwendet, um Zugriff auf das Konto der Hauptwebsite zu erhalten, oder um andere Websites (d. H. E-Mail oder Online-Banking) zu testen, auf denen der Benutzer möglicherweise dasselbe Kennwort erneut verwendet hat. (Passwörter also nicht wiederverwenden)

5
Bryan Field

Das erhöhte Risiko in Bezug auf den betreffenden Dienst ist allenfalls vergleichbar mit

  • benutzer können ihre Passwörter über einen längeren Zeitraum unverändert lassen (entsprechend dem Alter des ältesten gespeicherten Hashs)
  • angenommen, die Anzahl der Angriffe ist um einen Faktor höher, der der Anzahl der gespeicherten Hashes entspricht.

Bei anderen Diensten erhöht sich das Risiko nur, wenn eines der alten Kennwörter für einen anderen Dienst noch gültig ist, was Sie sowieso nicht tun sollten.

Wenn dieser Dienst jedoch die alten Passwörter für die Verwendung von einigen gültig macht (z. B. ein altes Passwort als Authentifizierung in einem Prozess mit verlorenem Passwort zulässt), steigt das Risiko dramatisch an.

0