it-swarm.com.de

Benötigen wir wirklich ein langes und kompliziertes Passwort für Websites?

Die meisten Websites, die wichtige Informationen verarbeiten (z. B. Google Mail), verfügen über einen Brute-Force-Schutz. Wenn Sie mehr als das X-fache versuchen, wird das Konto manchmal gesperrt oder Sie erhalten zumindest ein zu lösendes Captcha.

Derzeit sagen alle Sicherheitsexperten immer wieder dasselbe: Erstellen Sie lange, gemischte Zeichen und Passwörter mit hoher Entropie. Dies ist sehr sinnvoll, wenn Sie über einen RSA-Schlüssel nachdenken oder über etwas, das offline entschlüsselt werden könnte. Ist es jedoch wirklich wichtig, wenn wir über Passwörter für Online-Konten sprechen?

Zum Beispiel erstellen wir ein Passwort für Google Mail mit nur 6 Buchstaben aus dem englischen Alphabet. Dies sind ungefähr 26 ^ 6 = 309 Millionen Kombinationen. Wenn wir davon ausgehen, dass wir 1 Passwort pro Sekunde testen können (was meiner Meinung nach schneller ist als wir es tatsächlich können, wenn Sie die Google Mail-Captchas berücksichtigen), benötigen wir bis zu 10 Jahre, um zu brechen, und durchschnittlich 5 Jahre.

Punkte, die man beachten sollte:

  • Wenn Sie dasselbe Passwort auf einer anderen Website verwenden, kann eine andere Website gehackt und Ihr Passwort offengelegt werden. Ich gehe davon aus, dass das Passwort eindeutig ist. Wird nur mit Google Mail verwendet.
  • Wenn jemand die Datenbank abrufen kann, kann er den Hash Ihres Passworts brutal offline schalten. Ich gehe davon aus, dass die Website mindestens einen gesalzenen Hash verwendet (sehr unwahrscheinlich, dass der Hacker versucht, alle Passwörter zu knacken) und/oder sehr unwahrscheinlich ist, dass die Datenbank gehackt wird (dies ist eine faire Annahme bei Google Mail).
  • Ich gehe auch davon aus, dass Ihr Passwort kein Wörterbuchwort oder etwas leicht zu erratendes ist. Dies sollte Brute Force für mehrere Konten ausschließen (z. B. Testen des gleichen gemeinsamen Kennworts für mehrere Konten).

Ist es sicher anzunehmen, dass wir kein wirklich langes Passwort für Websites benötigen, sobald wir die anderen Sicherheitsmaßnahmen befolgen? Wenn wir vorschlagen, dass Benutzer ein langes Kennwort verwenden, nur weil sie normalerweise nicht den anderen Sicherheitshinweisen folgen (verwenden Sie dasselbe Kennwort für alle Konten usw.). Versuchen wir nicht wirklich, die Symptome und nicht die Ursache zu beheben?

PS: Einige andere Fragen betreffen fast dasselbe, aber die Antworten berücksichtigen immer, dass die Person auf allen Websites dasselbe Kennwort verwendet oder dass die Website-Datenbank leicht gestohlen werden kann.

66
drpexe

Das Folgende wird dem nicht wirklich gerecht, aber zusammenfassend ...

In einer idealen Welt sollten keine komplizierten Passwörter für Online-Ressourcen erforderlich sein.

In dieser idealen Welt sind wir jedoch darauf angewiesen, dass die Administratoren des Systems die Systeme härten, um den unbefugten Zugriff auf die Kennwortdatei zu verhindern. Folgendes minimiert das Risiko:

  • Konfigurieren Sie die Infrastruktur sicher.
  • Patches sofort anwenden;
  • Haben Sie irgendeine Form der Überwachung, um einen Kompromiss im Falle eines Zero-Day-Exploit-Szenarios zu identifizieren (damit Benutzer aufgefordert werden können, ihre Passwörter zu ändern);
  • Haben und befolgen Sie 'sichere' Programmier-/Entwicklungsmethoden;
  • Beschäftigen Sie nur vertrauenswürdige Personen.

Die vollständige Kombination davon ist für viele Standorte unwahrscheinlich.

Schwachstellen in der obigen Liste können führen zu Exploits, mit denen Passwörter vollständig umgangen werden können. Unabhängig von der Art eines erfolgreichen Exploits ist es jedoch sicher, dass Angreifer nach dem unbefugten Zugriff auf ein System versuchen werden um die Passwortdatei zu exfiltrieren und sie anschließend brutal zu erzwingen, um die weitere Kompromittierung anderer Systeme zu unterstützen (indem das Passwortrecycling ausgenutzt wird).

Es gibt zwar keine Garantie dafür, dass ein sicheres (er) Passwort alle schlechten Dinge verhindert, aber es kann helfen, Schwachstellen in den Lösungen der Anbieter (ob bekannt oder nicht) zu beseitigen.

Um Zweifel auszuschließen, sind wir auch darauf angewiesen, dass der Dienstleister Folgendes tut:

  • Wenden Sie Hashing und Salting auf Passwörter an.
  • Stellen Sie sicher, dass das Passwort niemals im Klartext ausgetauscht wird.

Ich denke, für die meisten Endbenutzer hängt die Entscheidung über die Komplexität und Länge des Passworts von den Informationen ab, auf die die Site (und damit das Passwort) Zugriff hat.

Meine Empfehlung lautet: Wenn es wichtig ist, verwenden Sie ein komplexes Kennwort, damit im Falle eines Systemkompromisses die Kennwörter anderer Personen wahrscheinlich zuerst entdeckt werden. Wenn jedoch etwas Triviales und Bequemeres wichtiger ist, nutzen Sie ein schwächeres Passwort, akzeptieren Sie jedoch, dass ein Hack zum Verlust des Zugriffs auf das Konto und/oder zur Freigabe von Informationen aus dem Konto führen kann.

Für viele Websitebesitzer ist die Entscheidung, komplexe Kennwörter zu verlangen, eine Kombination aus FUD und dem Wunsch, die Auswirkungen eines kritischen Kontrollfehlers zu minimieren, indem die Zeit für Brute-Force-Kennwörter verlängert wird, wodurch die Korrektur und Minimierung der tatsächlichen Kennwörter länger dauert Kompromittierung des Benutzerkontos (obwohl ein Angreifer, der Zugriff auf Kennwort-Hashes hat, wahrscheinlich über einen ausreichenden Systemzugriff verfügt, um das System auf andere Weise zu gefährden).

36
R15

Die Empfehlung für ein langes Passwort besteht darin, Passwörter vor dem Knacken zu schützen, wenn jemand Zugriff auf den Hash dieses Passworts hat.

Tools wie Hashcat können problemlos (mit GPU) 93800M c/s MD5-Hashes testen

Als Benutzer wissen Sie normalerweise nicht, wie die Site Ihr Passwort speichert. Verwenden Sie daher besser ein langes Passwort, um diese Angriffe abzuwehren.

33
DaniloNC

Gute Passwörter auszuwählen ist schwierig. Menschen und unsere Vorliebe für Muster sind einfach nicht sehr gut darin. Multiplizieren Sie das mit den Dutzenden von Konten, die wir im Laufe der Zeit ansammeln, und dies ist die Wurzel des Problems.

Ja, das Eliminieren falscher Passwörter und die Wiederverwendung von Passwörtern kann das Problem der Erstellung weicher Ziele lösen, aber nicht das Grundproblem der Verwaltung all dieser Konten und Passwörter, was im ersten Fall zu falschen Passwörtern und der Wiederverwendung von Passwörtern führt Ort. Es ist also gut und schön zu sagen, dass Sie nur gute Richtlinien zur Kennwortsicherheit befolgen, und Sie sind sicher, aber ohne das Problem der Kontoverwaltung anzugehen, haben Sie nichts gelöst.

Was ist die Antwort? Verwenden Sie einen Passwort-Manager. Dies löst das Problem. Wenn Sie das Problem der Kennworterstellung und -verwaltung auf ein speziell für diesen Zweck entwickeltes Tool verlagern, erhalten Sie standardmäßig sichere Kennwörter und müssen ein Kennwort nie wieder verwenden. Es ist keine perfekte Lösung (nichts ist es), aber es ist die beste, die wir derzeit haben, und wirft Fragen zur Komplexität und Länge des Passworts auf, denn wenn Sie nicht derjenige sind, der das Passwort erstellen und sich merken muss, ist es Ihnen egal wie komplex und lang es ist, nur dass es mit genug Entropie erzeugt wird, um es stark zu machen, und ein Passwort-Manager gibt Ihnen das.

31
Xander

Die einzigen vernünftigen Annahmen für Webentwickler, die die lokale Kennwortauthentifizierung verwenden, sind:

  1. dass ihre Benutzer für alles das gleiche Passwort verwenden werden;

  2. dass die Site bereits kompromittiert wurde, auch wenn sie noch nicht fertig geschrieben wurde; und

  3. mit den Folgen dieses Kompromisses wird eine wirklich teure rechtliche Haftung verbunden sein.

(Bitte beachten Sie, dass ich nicht impliziere und auch nicht vorschlage, dass alle - oder sogar - Webentwickler vernünftig sind oder genug darüber wissen, was sie sind zu tun, um zu erkennen, dass das, was sie tun, verrückt wäre , wenn sie wüssten, was sie tun. Einfache Hashes, ob einfach oder gesalzen, sind rechnerisch nah genug zu einfachem Text, um heutzutage keine Rolle zu spielen, und dennoch findet man in sogenannten "Tutorials", die überall auf Servern kopiert und in die Produktion eingefügt werden, einfachen Text, ungesalzenes MD5 usw., das im gesamten Web verstreut ist.)

Diese Annahmen bedeuten, dass ich Ihr Passwort so behandeln muss, als ob es Ihr wäre, selbst wenn ich eine Website mit einer extrem lokalen Anwendung betreibe, die es den Menschen ermöglicht, Empfehlungen für glutenfreie Hamster-Leckereien aus biologischem Anbau, aus Freilandhaltung und lokalem Anbau aufzulisten Paypal-, eBay- und E-Mail-Konten zusammen (weil es eine ziemlich gute Chance gibt, dass dies effektiv ist). Und das bedeutet, dass ich, um mein eigenes, ziemlich kostbares Hinterteil zu schützen, zumindest einige minimale Schritte unternehmen muss, um Ihr kostbares Hinterteil zu schützen, ob es Ihnen gefällt oder nicht. Im Idealfall bedeutet dies, dass Sie Ihr Passwort zu etwas machen, das nicht trivial brutal erzwungen werden kann (unter Verwendung eines Crypto-Random-Salt und einer teuren Funktion zur Schlüsselableitung) und eine absolute Untergrenze für die Anzahl der Zeichen festlegen (idealerweise ohne Obergrenze, innerhalb eines vernünftigen Rahmens) ), während Sie trotzdem etwas verwenden können, an das Sie sich leicht erinnern können (nichts davon "muss mindestens ein Zeichen mit Akzent, ein Emoji und ein Hiragana verwenden" -Nonsens). Mit anderen Worten, wenn Sie ein wirklich kurzes Passwort verwenden, ist mein persönliches Gesäß ungerechtfertigten Gefahren ausgesetzt. Erwarten Sie also nicht, dass ich es zulasse. Und das ist, wenn meine Website keine Geheimnisse hütet außer Ihr Passwort. Wenn tatsächlich personenbezogene Daten mit Ihnen verbunden sind Erwarten Sie, dass meine Paranoia in Ihrem Namen dramatisch zunimmt.

11
Stan Rogers

Die Verwendung eines komplexen Passworts für eine einzelne sichere Site entspricht der Verwendung eines speziellen Schlosses an Ihrer Wohnungstür, wodurch das Öffnen der Tür länger dauert und Sie besser vor 1% aller Einbrecher geschützt sind.

Die meisten Antworten befassen sich mit allen Arten von Angriffsszenarien, die Ihr Passwort gefährden könnten. Um jedoch zu entscheiden, ob ein kleineres Passwort (6 Zeichen) ausreicht, wenn Sie es nur auf einer einzelnen Site mit angemessener Sicherheit verwenden, müssen wir nur eine einzige Nummer vergleichen ::

Wie viele Angriffe funktionieren bei einem schwachen Passwort deutlich besser als bei einem starken Passwort?

Wenn der Online-Brute-Force-Schutz ausreichend stark ist (eine Voraussetzung in der Frage), ist das einzige relevante Angriffsszenario das Offline-Brute-Forcing. In allen anderen Angriffsszenarien (Klartext-Passwort lesen, Sitzungsdiebstahl, Social Engineering, Phishing, Benutzerfälschung) spielt die Komplexität des Passworts keine Rolle (wenn es sich nicht um ein Standardkennwort handelt).

Wie viele Prozent der Angriffe auf Ihr Konto oder auf Google Mail werden wahrscheinlich ein praktikables Offline-Brute-Forcing Ihres Passworts verwenden? Wahrscheinlich so gut wie keine. Brute Forcing funktioniert nur gegen einen Hash oder eine verschlüsselte Version Ihres Passworts. Überall sonst ist Ihr Passwort im Klartext (Komplexität ist also irrelevant) oder überhaupt nicht relevant (z. B. Sitzungs-ID, direkter Zugriff eines Insiders auf den Mail-Storage-Server).

Die einzigen Fälle, in denen Ihr Passwort verschlüsselt oder gehasht wird, sind 1. gesalzener Hash in der Datenbank und 2. Übertragung Ihres Passworts über HTTPS

  1. Salted Hash in der Datenbank Wenn der Hacker Zugriff auf die Datenbank erhalten hat, in der alle Benutzerkennwörter gespeichert sind (wahrscheinlich einer der am besten gesicherten Punkte in der Infrastruktur), aber keinen Zugriff auf andere Dienste (wie eine aktive Sitzungs-ID oder) erhalten konnte direkter Kontozugriff) Dann würde ein Offline-Angriff auf Ihren gesalzenen Hash mit einem Brute-Force-Angriff schnell Ihr Passwort verwenden.

  2. HTTP-Übertragung Sehr unwahrscheinlich, da der Angreifer Ihren HTTPS-Stream brutal erzwingen müsste, um Ihr Kennwort zu isolieren. Daher spielt die Kennwortlänge höchstwahrscheinlich keine große Rolle.

Das einzige Szenario, in dem ein langes Kennwort Sie tatsächlich schützt, besteht darin, dass jemand Zugriff auf den (wahrscheinlich) sichersten Datenspeicher der Infrastruktur erhält, ohne dass dies jemand bemerkt - und ohne ausreichenden Zugriff, um einen einfacheren Zugriff auf Ihr Konto zu erhalten. Ich würde sagen, dass dieses Szenario wirklich unwahrscheinlich ist, da es sich bei der Vielzahl von Sicherheitslücken und Angriffen auf Ihr Konto nur um einen unwahrscheinlichen Angriffstyp handelt.

5
Falco

Es gibt Probleme mit einigen Ihrer Annahmen.

309 Millionen sind eine lächerlich kleine Zahl, wenn es einen Offline-Angriff gibt. Und bei einem Offline-Angriff, selbst mit einem guten Salz, wird der Angreifer zuerst die niedrig hängenden Früchte suchen. Dh. Suchen Sie die Passwörter im Wörterbuch, dann die kurzen Passwörter und andere einfache Passwörter. Wie problematisch dies ist, ist jedoch umstritten - die Chance ist gut, dass ein Angreifer mit Zugriff auf die Kennwortdatenbank auch Zugriff auf alles hat, wonach er sucht. - Dies setzt voraus, dass keine Wiederverwendung des Passworts stattfindet.

309 Millionen sind, wie Sie bemerken, ein zu großer Suchraum, um bei einem Online-Angriff brutale Gewalt anzuwenden. Ihre Annahmen, die zu dieser Zahl führen, sind jedoch zweifelhaft. Wir als Spezies sind in zwei relevanten Aufgaben notorisch arm; mit wirklich zufälligen Sequenzen aufwarten und sich an zufällige Sequenzen erinnern. Dies bedeutet, dass Ihre Entropie erheblich niedriger ist, wenn Sie ein 6-stelliges Passwort ausgewählt haben. Dies kann vermieden werden, wenn Sie einen Kennwortmanager oder ein ähnliches Dienstprogramm verwenden. In diesem Fall können Sie jedoch auch ein längeres Kennwort verwenden, um sich vor Offline-Angriffen zu schützen.

Abschließend; Eine gute Entropie in Ihrem Passwort zu erhalten, hängt vom Entropie-PR-Zeichen und der Länge Ihres Passworts ab. - Wenn Sie eine gute Entropie pro Zeichen haben, können Sie ein kürzeres Passwort akzeptieren. Dies ist jedoch ein Ansatz, der für die meisten Menschen schlecht geeignet ist, da wir uns besser an längere Zeichenfolgen mit niedrigerer Entropie pro Zeichen erinnern als an kürzere Zeichenfolgen mit hoher Entropie pro Zeichen. Wir generieren auch zufällige Zeichenfolgen, und der von Ihnen zitierte Rat richtet sich an Personen, die keine Kennwortmanager zum Generieren von Kennwörtern verwenden.

5
Taemyr

Es ist zwar sicherer, komplizierte Passwörter zu erstellen, ich empfehle jedoch immer, sie gleichzeitig einfach zu gestalten und auch eine Einzigartigkeit pro Website zu haben. Dies ist nur dann eine Sicherheitsanfälligkeit, wenn Sie auf einen Phishing-Betrug hereinfallen. Aus diesem Grund ist es wichtig, mehrere Möglichkeiten zur Wiederherstellung Ihrer E-Mail-Adresse zu haben, da Sie mit Ihrer E-Mail andere Konten wiederherstellen können.

Hier sind die Regeln, die ich persönlich verwende:

  • Mindestens 8 oder 10 Zeichen, vorzugsweise 12 oder mehr
  • Verwenden Sie etwas, das Ihnen etwas bedeutet
  • Abkürzungen oder die Verwendung einer Zahl anstelle eines Buchstabens können einfach, aber effektiv sein
  • Wenn Sie möchten, können Sie ein Präfix oder Suffix verwenden, um Kennwörter eindeutig zu halten

Also zum Beispiel: ThisIsMyPassword14si

Verwendung: Großbuchstaben, Zahlen und das Suffix von si für den Stapeltausch und ein Jahr mit etwas, das persönlich etwas bedeutet. Diese Art von Passwort wird normalerweise immer als sicheres Passwort angezeigt.

Es gibt auch weitere Dienste, mit denen Sie sich mit einem anderen tokenbasierten Dienst anmelden können. Ich denke, dies ist eine großartige Idee, da Sie sich jederzeit abmelden können, wenn Sie einen Zugriff entfernen möchten, und nicht für jeden einzelnen Dienst ein Kennwort benötigen (vorausgesetzt, die Entwickler haben den Prozess korrekt entworfen). Sie müssen jedoch mit dem Kennwort für diesen Dienst vorsichtiger umgehen und über mehrere Wiederherstellungsoptionen verfügen, falls Sie es aus irgendeinem Grund verlieren.

Ich denke, dass Google hier in die richtige Richtung geht, indem es mehrere Wiederherstellungsoptionen und eine 2-Faktor-Authentifizierung bietet. Das Problem ist, dass fast alles gefälscht werden kann, wenn Sie nicht auf die tatsächliche Seite achten, auf der Ihre Informationen angefordert werden.

Hoffentlich gibt es in Zukunft ein Gerät wie ein Mobiltelefon, das als Sicherheitsüberprüfung für Webdienste fungieren kann. Apps werden vom Distributor gesteuert. Wenn Sie also eine App pro Plattform haben, um die Zugriffsanfrage zu erhalten und um Ihre Erlaubnis zu bitten, ist dies der richtige Weg, um in Zukunft damit umzugehen. Wir müssen uns also nicht um dieses individuelle Passwort kümmern alles Unsinn.

... Eines Tages...

4
Mark

Meine Antwort lautet einfach ja. Sie können nicht davon ausgehen, dass Websites gesalzene Hashing-Methoden verwenden. Zum Beispiel wird MD5 immer noch in freier Wildbahn verwendet und die Leute denken, dass es vollkommen akzeptabel ist.

Aber mit einem stark gesalzenen Hashing-Mechanismus kann niemand auf das eigentliche Passwort zugreifen, selbst wenn es sich um einen Low-Char-Pass handelt. Dies gilt insbesondere dann, wenn Ihr Server ordnungsgemäß gesichert ist und Ihre API die richtigen Vorsichtsmaßnahmen für Brute-Force-Angriffe trifft.

4
James_1x0

Sie haben den lokalen physischen Angriff vergessen! Ein langes, komplexes Passwort verringert die Wahrscheinlichkeit, dass Schulterkennungen erfolgreich sind. Selbst wenn jemand auf meine Tastatur starrt, bekommt er meine Passwörter nur, wenn er Rainman ist. (kann nicht kommentieren)

2
Irving Poe

Bei Verwendung eines zuverlässigen Zwei-Faktor-Authentifizierungssystems ist die Verwendung eines weniger sicheren Kennworts sinnvoll. Es ist immer noch am besten, ein schwieriges Passwort zu verwenden, das von einem Passwortgenerator mit Groß- und Kleinbuchstaben, Zahlen und Symbolen generiert wird.

Aber Leute, die kein so sicheres Passwort bereitstellen; Im Fall eines Dienstes, der eine Zwei-Faktor-Authentifizierung bietet, können sich diese Personen einigermaßen sicher fühlen.

2
Shai

Vergessen wir nicht, dass jemand ein Ziel nicht brutal erzwingen muss. Sie können dasselbe Kennwort mit vielen Zielen versuchen, wodurch die Benutzer mit den häufigsten Kennwörtern anfällig werden.

2
dibble