it-swarm.com.de

Ist es sicher, ein schwaches Passwort zu verwenden, solange ich eine Zwei-Faktor-Authentifizierung habe?

Ich achte darauf, sichere Passwörter zu verwenden (laut Wie groß ist Ihr Heuhaufen , meine Passwörter würden 1,5 Millionen Jahrhunderte dauern, um sie zu knacken), ich verwende Passwörter nicht über Websites hinweg und ich Verwenden Sie die Zwei-Faktor-Authentifizierung, sofern verfügbar.

Das ständige Eingeben dieser Passwörter ist jedoch ein echtes Problem, insbesondere auf einem Telefon oder Tablet. Ein Freund hat kürzlich gefragt, warum ich nicht nur ein relativ schwaches Passwort für Websites wie Google Mail verwende, auf denen die Zwei-Faktor-Authentifizierung aktiviert ist, und ich hatte keine wirklich gute Antwort. Selbst wenn jemand mein Passwort brutal erzwingen würde, müsste er sich immer noch im physischen Besitz meines Telefons befinden, um hineinzukommen.

Also: Ist es sicher, mein Google Mail-Passwort für meine eigene Bequemlichkeit zu schwächen? Oder gibt es ein realistisches Szenario, das ich nicht berücksichtige?

Klarstellung: Ich spreche nicht von der Verwendung eines trivialen Passworts (z. B. "a") - keine Site lässt mich das sowieso tun. Ich spreche von einem 16-stelligen Passwort mit einem Suchfeld in der Größenordnung von 1030 zu einem 8-stelligen Passwort mit einem Suchraum in der Größenordnung von 1014.

39
Herb Caudill

Speziell für Google ist es bei Verwendung der Zwei-Faktor-Authentifizierung sicher, Ihr Passwort von einem 16-stelligen Passwort mit aktiviertem Suchfeld zu "schwächen" die Reihenfolge von 1030 zu einem 8-stelligen Passwort mit einem Suchraum in der Größenordnung von 1014"Solange Sie ein gutes 8-stelliges Passwort verwenden (d. h. völlig zufällig und nicht standortübergreifend wiederverwendet).

Die Stärke der Zwei-Faktor-Authentifizierung liegt in der Annahme, dass die beiden Faktoren unterschiedliche Arten von Angriffen erfordern und es unwahrscheinlich ist, dass ein einzelner Angreifer beide Arten von Angriffen auf ein einzelnes Ziel ausführt. Um Ihre Frage zu beantworten, müssen wir analysieren, welche Angriffe auf schwächere Passwörter im Vergleich zu stärkeren Passwörtern möglich sind und wie wahrscheinlich es ist, dass jemand, der schwächere Passwörter, aber keine längeren Passwörter angreifen kann, den zweiten Authentifizierungsfaktor angreift.

Nun das Sicherheitsdelta zwischen "einem 16-stelligen Passwort mit einem Suchraum in der Größenordnung von 1030"und" ein 8-stelliges Passwort mit einem Suchraum in der Größenordnung von 1014"ist nicht so groß, wie Sie vielleicht denken - es gibt nicht so viele Angriffe, für die das schwächere Passwort anfällig ist, das stärkere jedoch nicht. Die Wiederverwendung von Passwörtern ist unabhängig von der Passwortlänge gefährlich. Gleiches gilt für MITM, Key Logger und die meisten anderen häufigen Angriffe auf Passwörter.

Die Art von Angriffen, bei denen die Kennwortlänge von Bedeutung ist, sind Wörterbuchangriffe - d. H. Angriffe, bei denen der Angreifer eine umfassende Suche nach Ihrem Kennwort in einem Wörterbuch durchführt. Das Ausprobieren aller möglichen Passwörter im Anmeldebildschirm ist bei einem Suchraum von 10 offensichtlich nicht möglich14Wenn ein Angreifer jedoch einen Hash Ihres Passworts erhält, ist es möglicherweise möglich, diesen Hash auf einen Suchraum von 10 zu überprüfen14 aber nicht für einen Suchraum von 1030.

Hier ist die Tatsache wichtig, dass Sie Google in Ihrer Frage angegeben haben. Google nimmt die Passwortsicherheit ernst und unternimmt alles, um die Sicherheit Ihrer gehashten Passwörter zu gewährleisten. Dies umfasst den Schutz der Server, auf denen sich die Hash-Passwörter befinden, und die Verwendung von Salz, Pfeffer und Schlüssel, um einen Hacker zu vereiteln, der es irgendwie geschafft hat, die Hash-Passwörter zu erhalten.

Wenn es einem Angreifer gelungen ist, alle oben genannten Punkte zu umgehen, kann er die Google-Datenbank mit Salzen und Hash-Passwörtern abrufen. nd kann den geheimen Pfeffer abrufen nd kann dies eine erschöpfende Suche mit gedehntem Schlüssel auf einem Suchraum von 1014Wenn Sie nicht der Direktor der CIA sind, verschwendet dieser Angreifer keine Zeit damit, Ihr Telefon zu hacken, um den zweiten Authentifizierungsfaktor zu umgehen. Er ist zu beschäftigt damit, die Hunderte von Millionen von Google Mail-Konten zu hacken, die keine zwei verwenden -Faktorauthentifizierung. Solch ein Hacker zielt nicht speziell auf Sie ab, sondern auf die ganze Welt.

Wenn Ihre Daten so wertvoll sind, dass ein so leistungsfähiger Hacker Sie gezielt ansprechen würde, sollten Sie Ihre Daten nicht in erster Linie in Google Mail einfügen. Im Übrigen sollten Sie es nicht auf einen Computer stellen, der mit dem Internet verbunden ist.

25

Ein schwaches Passwort + Zwei-Faktor-Authentifizierung möglicherweise ist immer noch sicherer als ein starkes Passwort allein, aber weniger sicher als ein starkes Passwort + Zwei-Faktor-Authentifizierung.

Es hängt alles davon ab, wie schwach Sie sind: Wenn Sie den ganzen Weg gehen und das Passwort trivial machen, erhalten Sie effektiv eine Ein-Faktor-Authentifizierung (die Google-Textnachricht auf Ihrem Telefon). Dies ist jedoch möglicherweise noch sicherer als Ihr ursprüngliches sicheres Passwort.

17
Jeff

Zuallererst das grundlegende Konzept von TFA : - etwas, das der Benutzer kennt (das Passwort, das Sie verwenden) - etwas, das der Benutzer hat (im Fall von Google ist dies Ihr Telefon: Sie senden Ihnen einen Bestätigungscode auf der von Ihnen angegebenen Telefonnummer.)

Zuerst müssen Sie verstehen, dass nach dem zu urteilen, was Sie gesagt haben:

Das ständige Eingeben dieser Passwörter ist jedoch ein echtes Problem, insbesondere auf einem Telefon oder Tablet.

dies bedeutet, dass Sie häufig Google Mail von Ihrem Telefon aus verwenden. Wenn ich also Ihr Telefon für einige Zeit gestohlen oder genommen habe, wurde Ihre TFA nur noch OFA mit Ihrem Passwort. Ich werde Ihnen noch mehr sagen, dass in einigen Ländern, wenn Sie Verbindungen zu Personen haben, die in Mobilfunkunternehmen arbeiten und über einen entsprechenden Zugang verfügen, diese einer Person einfach Ihre Telefonnummer geben können. Eine andere Sache ist, dass der Angreifer den Authentifizierungsprozess abfangen kann, womit ich meine, dass ein Angreifer Ihr Telefon einfach richtig nehmen kann, wenn Sie annehmen, eine Nachricht zu erhalten. Nach diesem Paranoiker werde ich von einem anderen Weg ausgehen

Denken Sie nur ein bisschen darüber nach - TFA wurde vor langer Zeit verwendet und wird derzeit täglich von Millionen von Kunden mit einer Fläche von 10000 (4-stellige Nummer) verwendet. Dies ist Ihre Bankkarte. Wie oft wurde Ihre Karte während Ihres ganzen Lebens missbraucht? Ich nehme nicht viel an. Und ich bin mir ziemlich sicher, dass die meisten Leute lieber Ihr Geld bekommen möchten, als Ihre E-Mails zu lesen.

Ein weiterer Punkt - Google ist nicht das schlechteste Unternehmen und sie stellen wirklich sicher, dass Ihre Daten sicher sind (wenn jemand dies nicht beweist - verlieren sie gegen ihre Konkurrenten, die dafür sorgen). Ich bin mir ziemlich sicher, dass sie alles richtig handhaben, und der Grund, warum sie TFA implementiert haben, besteht darin, niedrige Passwörter zu nutzen.

Dies bringt uns zu einem der wichtigsten Sicherheitsaspekte: Ihre Sicherheitsmaßnahmen müssen für die Art von Informationen geeignet sein, die Sie geheim halten möchten. Immer wenn ich etwas höre wie: "Ich verwende ein 40-stelliges Passwort, um auf meine Wettervorhersage für morgen zuzugreifen", lautet meine Frage: Warum verwende ich nur 123 als Passwort? Was passiert, wenn ich es bekomme? Sie erstellen einfach ein anderes Konto. Also, worum geht es? Das ist natürlich übertrieben.

Aber wenn Sie der Meinung sind, dass Ihre Korrespondenz so wichtig ist, dass jemand Ihr Telefon weiterhin verwendet und 16 Zeichen brutal erzwingt, um sie zu erhalten, ist Google Mail höchstwahrscheinlich nicht gut für Sie und höchstwahrscheinlich auch das Gehen auf der Straße ohne Leibwächter Gut.

3
Salvador Dali

Sie haben Ihre Frage als eigene Antwort strukturiert.

Kannst du dich entspannen? Ja. Die Bereitstellung eines zweiten Faktors erhöht die Sicherheit.

Ich würde bereit sein, auf meine Bezahlung für die nächste Woche zu wetten, dass Sie, wenn Sie 2Factor hinzufügen und Ihr Passwort von 32 auf 31 Zeichen löschen, die Sicherheit nicht nennenswert gesenkt haben. Ich bin nicht bereit, die gleiche Wette abzuschließen, wenn Sie die Länge des Passworts auf 2 Zeichen reduzieren. Wo ist die Grenze? Wie viele Zeichen ist 2F wert? Das ist die Frage, die ich beantworten möchte.

Die relevante Frage ist, wie viel können Sie sich entspannen? Wie belastbar sind die einzelnen Abschwächungen? Wie unabhängig? Das sind die Geldfragen.

2
Mark C. Wallace

Es ist definitiv eine Frage des Vertrauens, wie Henning betont, aber es gibt einen wichtigen Faktor, den man hinzufügen muss:

Wenn die bidirektionale Authentifizierung auf einer mobilen Bräune basiert, bietet dies nur dann eine zusätzliche Sicherheitsebene, wenn das Telefon nicht auf die Site zugreift. Sonst ist es, obwohl es zwei Schichten sind, wirklich nur eine. Eine zu schwächen ist daher keine gute Idee.

Bearbeiten: habe gerade gesehen, dass CodesinChaos diese Antwort bereits gepostet hat.

1
user857990

Nun, es geht um persönliche Vorlieben. Google Mail hat keine zweistufige Authentifizierung eingeführt, sodass Benutzer schwache Kennwörter verwenden können. Es ist nur als zusätzliche Sicherheitsebene da. Obwohl es sehr selten vorkommt, dass ein schwaches Passwort mit einer Bestätigung in zwei Schritten in Schwierigkeiten gerät. Es gibt eine Liste mit Sicherungscodes und anwendungsspezifischen Kennwörtern, falls der Benutzer nicht auf sein Telefon zugreifen kann. Trotzdem hätte ich ein starkes Passwort verwendet, obwohl es nicht das ist, das Millionen von Jahrhunderten braucht, um rohe Gewalt anzuwenden. 20 bis 30 Jahre sind genug für mich. ;)

1
noob

Wenn Sie Ihr Passwort nicht jedes Mal eingeben möchten, können Sie einen Passwort-Manager wie Keepass verwenden, der über eine Funktion zur automatischen Eingabe verfügt. Jetzt sind alle meine Passwörter unterschiedlich und mindestens 20 zufällige Zeichen.

1
null

Ja, machen Sie das Passwort jedoch nicht zu einfach, sodass Sie im Grunde eine Ein-Faktor-Authentifizierung (d. H. Das Token) erhalten.

1
green

Google Mail und Dropbox verwenden OTP (Einmalkennwort) als zweiten Faktor, der an ein Mobiltelefon gesendet oder auf einem Gerät berechnet wird, das Sie besitzen - "was Sie haben". Dies ist viel sicherer als ein gespeichertes Passwort - "was Sie wissen".

Wie Sie hervorheben, ist das einzige Szenario: 1. Was Sie haben - Mobiltelefon oder Anhänger, der das OTP generiert oder empfängt - geht verloren oder wird gestohlen. 2. Das schwache Passwort - was Sie wissen - wird bei N Versuchen erraten oder brutal erzwungen. 3. Der OTP-Generator und/oder der Anmeldemechanismus verweigern den Zugriff nicht vor N Versuchen.

Beispielsweise verfügt einer meiner Clients über einen Remote-VPN-Zugriff. Die Anmelde-ID ist die E-Mail (sehr leicht zu erraten) und das Kennwort besteht aus 4-stelligem PIN, das mit einem 6-stelligen OTP verknüpft ist . Wenn mein Telefon mit dem OTP-Generator gestohlen würde, müsste der Dieb die 4-stellige PIN erraten. Wenn der Fernzugriff nach 5 oder 6 Versuchen abläuft, ist er laut Mathematik ziemlich sicher.

Dieser Mechanismus entspricht genau einem PIN auf Ihrem Telefon, das niemand kennt. Wenn Sie Google Mail für Apps oder Exchange verwenden, möchten Sie möglicherweise eine PIN -Richtlinie auf Ihrem Mobiltelefon erzwingen und den Zugriff auf die OTP-Textnachricht oder den OTP-Generator verweigern.

Schlussfolgerung: Ein schwaches Passwort (mindestens 4 Zeichen/Ziffern) und OTP (Zwei-Faktor-Token mit 6 Digis) bieten mehr Schutz vor Brute-Force als nur ein starkes Passwort mit 10 Ziffern. Dies wäre jedoch nicht effektiv, wenn das schwache Passwort von jemandem sozial erraten werden kann, der auch Zugriff auf Ihr Mobiltelefon oder Ihren FOB hat, der nicht mit einer PIN geschützt ist. d.h. ein böswilliger Freund, der Ihr Geburtsdatum kennt (schwaches Passwort) und auch Zugriff auf Ihr ungeschütztes Mobiltelefon hat.

1
Akber Choudhry

Die Sicherheitsanfälligkeit in diesen zweistufigen Kennwortschemata ist der Übermittlungskanal, dh Mobilfunkanbieter, SMS Routing-Netzwerke, Ihr Telefon. Alle diese können angegriffen werden, um das von Google gesendete Einmalkennwort abzufangen .

Angriffe auf Konten sind jedoch selten rein technisch und beinhalten fast immer das Spielen eines Menschen irgendwo in der Kette.

So gut das System von Google auch ist, Wired führt einen Artikel aus, der einen Angriff beschreibt, der seinen Schutz vollständig aufhebt.

Angreifer gaben sich als Inhaber eines drahtlosen Kontos aus, um dem Konto eine Weiterleitungsnummer hinzuzufügen, und wählten dann die Option "Ruf mich an", um den Code anstelle von SMS zuzustellen. Wenn Google mit dem OTP anrief, wurde der Anruf an das Telefon des Angreifers weitergeleitet und dieser erhielt Zugriff auf das Google-Konto.

1
trs80

Sie können stattdessen Keepass verwenden, das auf verschiedene mobile Geräte portiert wurde. Richten Sie es so ein, dass Sie nur ab und zu ein sicheres (oder schwächeres, da die Datenbank lokal ist) Kennwort eingeben und die sicheren Kennwörter automatisch in z. Google Mail.

Wenn Ihr Gerät USB-A-Tastaturen unterstützt, können Sie sogar ein Yubikey ( nano ) mit einem statischen Kennwort (oder in der Standardeinstellung [~) verwenden) # ~] otp [~ # ~] Modus, zB verknüpft bis LastPass ). Dann wäre Ihre einzige Unannehmlichkeit (und dennoch Sicherheit) das Drücken des kleinen Knopfes darauf.

edit Da das Yubikey NEO NFC Unterstützung) hat, können Sie es auch auf dem verwenden Ich habe einige Anweisungen zur Verwendung mit LastPass gefunden hier

0
Tobias Kienzler