it-swarm.com.de

Muster bei der Kennworterstellung über mehrere Kennwörter

Nehmen wir an, ich erstelle 100 separate Passwörter, die aus ungefähr acht zufälligen Zeichen bestehen, gefolgt von zwei konstanten, die für alle Passwörter gleich sind:

Generated password = 8 random characters + `.p`

Wenn ich dies für alle 100 Passwörter mache, macht das Hinzufügen des gleichen .p Für jedes Passwort sie mehr oder weniger sicher? Wie groß wäre die Auswirkung, wenn zwei dieser Passwörter kompromittiert würden?

26
li x

Es hängt davon ab, gegen welche Art von Angriff Sie sich schützen möchten:

  • Wenn Ihr Passwort eines von Millionen in einem Datenverstoß ist, bei dem der Angreifer Sie nicht gezielt angreift, ist Ihr Passwort effektiv 10 zufällige Zeichen lang anstatt 8. Es ist schwieriger zu knacken.
  • Wenn ein Angreifer auf Sie zielt und Ihr Muster kennt, bietet er Ihnen überhaupt keinen Schutz.
  • Wenn ein Angreifer auf Sie zielt und das Muster nicht kennt, kann dies hilfreich sein, bis der Angreifer davon erfährt. Das Brechen eines Kontos würde ein wenig helfen, das Brechen von zwei würde das Muster offensichtlich und daher nutzlos machen.

Ihr System kann also manchmal hilfreich sein, aber nicht immer. Oder mit anderen Worten: Ihre "effektive" Passwortlänge liegt je nach Bedrohungsmodell zwischen 8 und 10. Aber wenn Sie keinen bestimmten Grund haben, dies nicht zu tun, würde ich einfach alles über clevere Systeme vergessen und stattdessen einfach einen Passwort-Manager installieren.

59
Anders

Bisher waren die Antworten für "Wenn ich als Benutzer '.p' das Ende aller meiner Passwörter auf verschiedenen Websites hinzufüge".

Daher möchte ich die andere Möglichkeit angehen, die die ursprüngliche Frage bedeuten könnte: "Wenn ich als Systemprogrammierer '.p' hinzufüge bis zum Ende aller Passwörter meiner Benutzer "

Was Sie beschreiben, wird als "Pepper" bezeichnet - es ist ein anwendungsspezifisches Snippet, das vor dem Hashing an das Kennwort angeheftet wird.

Was bringt dir das?

  • Es verhindert Wörterbuchangriffe (da der Angreifer nicht wissen würde, dass an jedes Kennwort eine bestimmte Zeichenfolge an das Ende angehängt ist.)
  • Es verhindert, dass eine Verletzung eines anderen Satzes von Anmeldeinformationen Ihre gefährdet (da der Hash (Kennwort) eines anderen Systems auf keinen Fall mit Ihrem Hash (Kennwort + AppSpecificPepper) übereinstimmt.

Was bringt es dir nicht ?

  • Es wird nicht verhindert, dass ein Kennwort geknackt wird, das auf alle Konten mit demselben Kennwort übertragen wird, da Hash (Kennwort + Pfeffer) für alle Konten mit demselben Kennwort übereinstimmt.

Also, wenn alles gesagt und getan ist? Absolut - fügen Sie die '.p' (oder eine viel längere geheime Zeichenfolge) am Ende der Benutzerpasswörter hinzu. Es macht die Passwörter sicherer als nur die ursprünglichen 8 Zeichen allein - im schlimmsten Fall gelingt es dem Angreifer, die App zu kompromittieren und den Pfeffer zu erhalten. In diesem Fall geht es Ihnen nur so schlecht, als hätten Sie keinen Pfeffer in der verwendet erster Platz. Stellen Sie jedoch sicher, dass Sie auch ein Salt hinzufügen, damit ein Angreifer nicht mehrere Konten mit einem einzigen Kennwortriss kompromittiert.

15
Kevin

Nicht mehr und nicht weniger sicher. Ein Angreifer hat keine Ahnung, selbst wenn er eins Ihrer Passwörter preisgibt (wenn Sie nicht 2 Ziffern als Suffix verwenden, was für einen Angreifer die übliche Einstellung der Regeln seines Angriffs ist).

Aber wenn der Angreifer zwei oder mehr Ihrer Passwörter preisgibt und versucht, andere davon zu brechen, wird er das Muster mit Sicherheit sehen und es anwenden.

2
MarianD