HerrReineke hat geschrieben: ↑18. Jan 2019, 09:22
Feamorn hat geschrieben: ↑18. Jan 2019, 09:12
Achso, Nachtrag, wenn die Passworte allerdings erst mit SHA1 gehasht werden, funktioniert das mit dem "ähnlichen" Passwort bereits nicht mehr, da ein geändertes oder hinzugefügtes Zeichen bereits einen völlig anderen Hash-String bedingt.
Doch, es funktioniert, denn du kriegst ja zu dem ähnlichen Passwort das korrekte Ergebnis angezeigt: Und das zeigt einem, ob viele Menschen ein zu deinem Passwort sehr ähnliches genutzt haben und dieses ähnliche Passwort kompromittiert worden ist. Daraus könnte man ableiten, dass es auch viele Menschen gibt, die dein richtiges Passwort ebenfalls nutzen und dieses ebenfalls kompromittiert ist.
Okay, unter dem Gesichtspunkt, ja.
Andersrum sagt es einem aber nichts, wenn bei ähnlichen Passwörtern keine Treffer erscheinen: Denn das Echte könnte trotzdem kompromittiert sein. Über Ähnlichkeiten kann man nur Gefahren finden aber keine Kompromittierung ausschließen.
Genau. Wie gesagt, die "korrekte" Vorgehensweise, sobald die Email in der Sammlung ist, wäre, alles zu ändern. Aber ich kann schon nachvollziehen, dass man den, ja teilweise enormen, Aufwand scheut, ich habe ja auch nur meine "wichtigen" Geändert (sprich Shops und die der Email selbst).
Dazu vielleicht noch ein weiterer kleiner Hinweis: Nur weil ein Passwort bisher nicht in diesen bekannten Listen auftaucht heißt es nicht, dass das Passwort auch gut ist. Es heißt nur, dass es nicht in diesen Listen auftaucht. Wenn es ansonsten beschissen ist (z.B. eine sehr kurze Zahlenkombination; das eigene Geburtsdatum etc.) hilft es kaum weiter, dass es in diesen Listen nicht auftaucht, weil es dann über Brute-Force oder (bei semi-gezielten Angriffen) durch zusätzliches Wissen sofort kaputt ist.
Ganz wichtiger Punkt!
Wobei ich bei manchen Anbietern auch echt schon einen Hals bekomme. Wie sehr ich es liebe, wenn man bei einem "Passwort vergessen" dann allen ernstes das alte Passwort im Klartext zugeschickt bekommt. Eigentlich sollte man da sofort die Segel streichen, denn das ist auf so viele Arten einfach nur falsch...
(Für Nicht-Informierte: Wenn der Anbieter das Passwort "korrekt" speichert
kann der Anbieter einem nicht das eigene Passwort zusenden, da er es selbst nicht kennt, da auf den Servern bloß ein verschlüsselter Wert gespeichert wird. Daher sollten, wenn es einem passiert, dass man irgendwie sein altes Passwort wieder bekommen kann, alle Alarmglocken angehen!)