Wenn ein Passwort kompromittiert wird, wird auch ein "ähnliches" Passwort kompromittiert?

Um den letzten Teil zuerst zu beantworten: Ja, es würde einen Unterschied machen, wenn die offengelegten Daten Klartext vs. Hashing wären. Wenn Sie in einem Hash ein einzelnes Zeichen ändern, unterscheidet sich der gesamte Hash vollständig. Ein Angreifer kann das Passwort nur auf die brutale Art des Hashes ermitteln (nicht unmöglich, insbesondere wenn der Hash nicht gesalzen ist. Siehe Regenbogentabellen ).

Was die Ähnlichkeitsfrage anbelangt, hängt es davon ab, was der Angreifer über Sie weiß. Wenn ich Ihr Passwort auf Site A erhalte und weiß, dass Sie bestimmte Muster zum Erstellen von Benutzernamen oder ähnlichem verwenden, kann ich die gleichen Konventionen für Passwörter auf den von Ihnen verwendeten Sites versuchen.

Wenn ich als Angreifer ein offensichtliches Muster sehe, das ich verwenden kann, um einen ortsspezifischen Teil des Kennworts vom generischen Kennwortteil zu trennen, werde ich den Teil eines benutzerdefinierten Kennwortangriffs auf jeden Fall maßgeschneidert machen für dich.

Angenommen, Sie haben ein sehr sicheres Passwort wie 58htg% HF! C. Um dieses Kennwort auf verschiedenen Websites zu verwenden, fügen Sie am Anfang ein ortsspezifisches Element hinzu, sodass Sie Kennwörter wie: facebook58htg% HF! C, wellsfargo58htg% HF! C oder gmail58htg% HF! C haben. Sie können darauf wetten, dass ich hacken Sie Ihr Facebook und erhalten Sie facebook58htg% HF! c Ich werde dieses Muster sehen und auf anderen Websites verwenden, die ich finde, die Sie möglicherweise verwenden.

Es kommt alles auf Muster an. Wird der Angreifer ein Muster im Site-spezifischen Teil und im allgemeinen Teil Ihres Kennworts sehen?

Es hängt wirklich davon ab, was Sie erreichen!

Es gibt eine beliebige Anzahl von Methoden, um festzustellen, ob ein Passwort einem anderen ähnlich ist. Nehmen wir zum Beispiel an, dass Sie eine Passwortkarte verwenden und dass jemand anderes die gleiche hat (oder einfach weiß, welche Sie haben). Wenn sie eines Ihrer Passwörter gefährden und feststellen können, dass es sich nur um eine Reihe von Passwörtern handelt, werden sie wahrscheinlich (möglicherweise sogar richtig) erraten, dass Ihre Passwörter alle auf ähnliche Weise von dieser Karte abgeleitet werden.

Aber für die meisten Dinge ist das überhaupt kein Thema. Wenn Ihr Kennwort für Dienst A nur durch ein einziges Zeichen vom Kennwort für Dienst B abweicht und beide Dienste sicher sind (z. B. gesalzene Hashwerte für Ihr Kennwort anstelle des direkten Hash oder des Klartextes speichern), ist es "rechnerisch nicht durchführbar". um zu bestimmen, ob die Passwörter ähnlich sind, ganz zu schweigen davon, wie ähnlich sie sind.

Eine kurze Antwort ist folgende: Wenn Ihre Passwörter einem Muster folgen, dann ist es wahrscheinlich, dass die Kompromittierung eines Passworts zu einer Kompromittierung der anderen führen wird. Das bedeutet jedoch nicht, dass dies machbar ist. Solange Sie:

1. Verwenden Sie niemals dasselbe Kennwort für mehrere Dienste.
2. Führen Sie ein beliebiges Element (wenn auch nur geringfügig) in die Generierung Ihrer Passwörter ein, und
3. Übertragen oder speichern Sie niemals Ihre Passwörter im Klartext

Es sollte dir gut gehen. Denken Sie daran, immer unterschiedliche Kennwörter für verschiedene Dienste zu verwenden - verwenden Sie nicht einfach dasselbe Kennwort und nicht zweimal das gleiche Kennwort. Es ist wichtig, sich vor dummen Unternehmen zu schützen, die sich nicht an die Best Practices halten, wenn es um die Speicherung von Benutzerdaten wie Passwörtern geht.

Meine kurze Antwort lautet JA . Zum Beispiel: strongpassword + game.com kompromittiert,

Wenn ich ein Attentäter bin, kann ich das von Ihnen verwendete Muster leicht verstehen und auf anderen Websites ausprobieren. Zum Beispiel strongpassword + paypal.com

Argh! ....

Um dies zu beheben, benutze ich persönlich:

hash ( strongpassword+game.com ) hash ( strongpassword+paypal.com ) 

Mit mathematischen Eigenschaften über Hash (ich verwende sha1) ist es schwierig, das erste Passwort zu kennen, da es schwierig ist, das starke Passwort und das zweite Passwort zu ermitteln.

Wenn Sie mehr Details erfahren, habe ich einen Blogeintrag über die Passwortsicherheit gemacht, der Ihre Frage genau beantwortet:

http://yannesposito.com/Scratch/de/blog/Password-Management/

Ich habe auch einige Tools entwickelt, um das Verwalten meines gesamten Passworts zu vereinfachen, da Sie in der Lage sein müssen, ein kompromittiertes Passwort zu ändern, sich die maximale Länge eines Passworts zu merken usw.

Das hängt davon ab, worüber Sie sich Sorgen machen. Bei einem weitreichenden, automatisierten Angriff, bei dem Anmeldeinformationen von einer anderen Site verwendet werden, sucht der Angreifer zuerst den einfachsten Teil - Benutzer, die dasselbe Passwort verwenden. Ist der Angriff erschöpft, wird der Angreifer nach unbeabsichtigten Angriffen nach Mustern Ausschau halten, die er für gewöhnlich hält - wahrscheinlich so etwas wie das Basispasswort + die Site.

Ein kluger Angreifer, der sicher ist, dass sein ursprünglicher Angriff (derjenige, der Ihre Passwörter erhalten hat) unbemerkt blieb, würde diese Verarbeitung durchführen, bevor er die von ihr gewonnenen Passwörter verwendet. In diesem Fall ist jede vorhersehbare Änderung gefährlich, je nachdem, wie offensichtlich sie für den Angreifer ist.

Wenn Ihr Passwort beispielsweise ein Präfix plus ein zufälliges Element ist und der Angreifer dies vermutet und der Angreifer Ihren Passwort-Hash auf einer anderen Site hat, kann er das andere Passwort etwas früher erhalten.

Sie können Ihre Passwörter erstellen, indem Sie ein vorhersehbares Hashing durchführen. Wenn diese Vorgehensweise jedoch allgemein üblich wird oder wenn Sie persönliche Aufmerksamkeit von Ihrem Angreifer erhalten, werden Sie dadurch nicht gerettet. In gewisser Hinsicht ist die Kennwortsicherheit eine Frage der Beliebtheitsarbitrage.

tl; dr tue nichts deterministisches.