Domanda:
Ho quasi cercato la mia password, ma non ho premuto Invio. La mia password è a rischio, a causa del completamento automatico o altro?
Randy
2016-04-29 04:08:15 UTC
view on stackexchange narkive permalink

Senza nemmeno pensarci, ho digitato la mia password nella barra di ricerca di Google, ma non ho premuto invio. Dato che il completamento automatico è attivo, significa che la mia password è stata registrata o indicizzata da qualche parte? Sarebbe una buona idea cambiare la mia password o è solo paranoico?

Cambialo per ogni evenienza.Il completamento automatico molto probabilmente supera HTTPS, ma il motore di ricerca lo ha sicuramente salvato poiché si basano su voci di completamento automatico precedenti per migliorarlo.
Quale barra di ricerca?Stiamo parlando di google.com, una barra degli URL del browser, una barra dei motori di ricerca del browser, una barra della schermata Home di Android ...?
Ricerca Google ha Google Instant, quindi la tua richiesta viene inviata anche prima di premere Invio.
La tua password non dovrebbe essere qualcosa che il completamento automatico verrà completato (dizionario crackabile), ma cambiarla ogni volta che è stata potenzialmente esposta
Sono cambiata immediatamente quando è successo a me.Correlati: [Google ha letto le tue email] (https://www.theguardian.com/technology/2013/aug/14/google-gmail-users-privacy-email-lawsuit).Se la tua password era "LacyLingerie", non stupirti di vederla nei tuoi annunci mirati.
La risposta a qualsiasi domanda "dovrei cambiare la mia password se ..." è "sì, ma probabilmente non lo farai".
@FiascoLabs Il completamento automatico di Google a volte aggiunge elementi digitati al suo dizionario, a condizione che non sia un campo password.
C'è qualche motivo per cui pensi che qualsiasi sequenza di caratteri digitata in una casella di ricerca venga interpretata come password / passphrase da qualcosa?Potrebbe succedere, suppongo.
Annotare la password su qualsiasi supporto leggibile da almeno un'altra persona è un rischio per la sicurezza.Quanto alto?Questa è un'altra domanda.
Il tuo inserimento di 123456 nella barra di ricerca * potrebbe * far sì che qualcun altro digitando 123 nella barra di ricerca venga suggerito di completarlo automaticamente in 123456. Quella persona potrebbe pensare "Ehi, questa è una sequenza di caratteri divertente. Immagino che la includerò inil mio dizionario per la prossima versione del mio strumento di hacking delle password ", e - boom - subito dopo che molti strumenti di hacking tentano di hackerare gli account provando 123456 come password.Ti consiglio di non utilizzare più 1234656 come password.
Stai usando un gestore di password, giusto?La modifica della password dovrebbe richiedere circa 30 secondi e non devi ricordare nulla di nuovo.È necessario modificare immediatamente la password al minimo accenno di compromissione.
Tutte le tue password appartengono a noi :-)
Non pensi che Google abbia già tutte le nostre informazioni?Solo il mio pensiero ..!
Nove risposte:
#1
+96
Bacon Brad
2016-04-29 07:40:49 UTC
view on stackexchange narkive permalink

Ne dubito fortemente.

  • Non hai premuto Invio ma a volte Google invierà le informazioni per presentare rapidamente i tuoi risultati. Questo è forzato su HTTPS. Le tue informazioni erano probabilmente criptate e non esposte.
  • Secondo la maggior parte delle fonti Google elabora in media 3,5 miliardi di ricerche al giorno. Non ci sono informazioni aggiuntive per dimostrare che la tua richiesta è una password. Né esiste un modo pubblico per una persona di ottenere le query di ricerca di un particolare utente di Google. Quindi dovrebbero essere un dipendente effettivo di Google. La probabilità che un dipendente interno di Google provi le tue query di ricerca come password del tuo account è altamente improbabile. Potrebbe non essere nemmeno possibile per la maggior parte dei dipendenti standard di Google ottenere tali informazioni di identificazione. Ma se è così, la possibilità che uno con tale accesso ti miri di proposito è astronomica.
  • Anche in questo caso, non c'è alcun contesto aggiuntivo per dimostrare che è la tua password. Né le informazioni dell'utente vengono inviate con la query. Quindi, in caso di un attacco MITM in cui possono leggere il tuo traffico, lo terrei comunque al minimo in quanto dovrebbero anche avere il tuo nome utente.

Sto per dire a tutto tondo c'è il 99,9% di possibilità che tu non abbia nulla di cui preoccuparti. Se indossi un cappello di carta stagnola o sei ancora nervoso, cambia la password. Se non usi questa password altrove, allora sei d'oro poiché non è come se potessero accedere con una vecchia password. Altrimenti andrei avanti e non me ne preoccuperei.

Modifica: @reirab ha sottolineato che potrebbe farlo apparire in funzionalità che utilizzano la cronologia delle ricerche. Non credo che questo accada se non premi Invia. Ma se vuoi essere sicuro di cancellare la cronologia delle ricerche con Google. Non posso essere sicuro che venga cancellato dai server di Google, ma dovrebbe impedire che vengano visualizzati nel completamento automatico.

Controlla la nostra politica sulla privacy.* Non siamo assolutamente autorizzati * a esaminare dati utente casuali come la cronologia delle ricerche.
@Kevin Presumo che baconface non fosse davvero preoccupato che le tue regole interne lo permettessero.Invece è stato scritto dal peggiore dei casi, la NSA spia tutti, tipo di prospettiva.
@kevin sta parlando per Google?(vedo nel suo profilo un accenno di impiego alla grande G)
@Mindwin: Niente di ciò che dico è una dichiarazione ufficiale.
@Kevin hai scritto "noi".Difficile non prenderlo come se parlasse per l'azienda.
@Mindwin kevin si riferiva a se stesso e ai suoi alter-ego / amici immaginari;)
@Mindwin: Non vedo la confusione qui: il commento di Kevin non è la dichiarazione ufficiale, ma ti dice che esiste una dichiarazione ufficiale, ti dice di leggerla e riassume cosa potresti trovare se lo facessi.
@Kevin: Hai idea di quanto accuratamente la tempistica delle sequenze di tasti sarebbe correlata alla tempistica dei pacchetti https: //?Ogni battitura provoca l'invio immediato di un pacchetto o c'è una certa casualità nella tempistica?
@supercat: Spiacenti, non nel team di ricerca.Immagino che ti imbatteresti nell'algoritmo di Nagle, ma onestamente non ne ho idea.
Mi chiedo cosa abbia una probabilità più alta o sia più probabile: lo scenario nella domanda in cui Google o MITM utilizza la password per uno scopo dannoso, o uno scenario in cui un hacker remoto hackera la tua macchina, ha installato un keylogger e sta attivamente cercando le password degli accountche digiti ogni giorno e quindi utilizza quella password per uno scopo dannoso.
È nella tua cronologia delle ricerche, G è stato citato in giudizio, è stato consegnato all'FBI, sei cotto.
@djechlin Se Google viene citato in giudizio per informazioni e forniscono tali informazioni, perché non dovrebbero fornire loro i dati di Gmail o di altri servizi Google sullo stesso piatto d'argento?Non ha senso cercare un ago in un pagliaio quando hai già una scatola di aghi.
@djechlin Leggi anche il mio terzo punto del bollettino.Per ottenere una password dai risultati, non solo dovrebbero presumere che sia una password senza alcuna indicazione che sia una password, ma anche conoscere il proprio nome utente.
L'utente non utilizza necessariamente Gmail.I nomi utente non sono protetti.(suggerimento: puoi trovare il mio per sicurezza.SE almeno tre volte su questa pagina).Non è necessario sapere che qualcosa è una password, basta indovinare tutto.Ci sono 5 * 10 ^ 33 password ASCII a 16 caratteri ma solo poche migliaia di query di ricerca, potrebbero forzare la rimozione per prime.
Tieni presente che la preoccupazione non riguarda solo i dipendenti di Google o il governo.Proprio come ho menzionato in un'altra domanda che abbiamo avuto di recente da un ragazzo che pensava che sua madre fosse in grado di vedere a distanza le sue query di ricerca, Google * salva le tue query di ricerca sul tuo account Google *.Chiunque abbia accesso a qualsiasi computer (o altro dispositivo) su cui il tuo account Google ha eseguito l'accesso e digita la prima o due lettere della tua password in una casella di ricerca di Google ** vedrà la tua password come suggerimento di ricerca **.
@djechlin Hai ragione.Avevo torto a presumere che l'OP fosse un normale membro della società che non aveva motivo per cui l'FBI citasse in giudizio i suoi risultati di ricerca.Uomo comune, stai raccogliendo i pignoli.È come dire che una password che impiega 1 milione di anni per la forza bruta è una password errata perché può essere eseguita ... in un milione di anni.
@reirab Notare che la ricerca non viene salvata se, come l'OP, l'utente non preme Invio.
La ricerca di query per possibili password e la speranza nell'improbabile scenario che qualcuno inserisca accidentalmente la password lì, è solo (marginalmente) plausibile se la persona presa di mira è un VIP, e quindi un gran numero di manodopera e risorse sono dedicate a spiare quella persona.Ma in questo caso sono disponibili molti vettori di attacco più ottimali.
Come punto minore.I nomi utente sono molto meno protetti delle password.Non sono in disaccordo con il punto principale della risposta, ma penso che affidarsi a qualsiasi livello che "Hanno bisogno di conoscere il tuo nome utente" non sia veramente sicuro.Non penso sia irragionevole presumere che il tuo nome utente sia già disponibile.> Quindi, in caso di un attacco MITM in cui possono leggere il tuo traffico, lo terrei comunque al minimo in quanto dovrebbero anche avere il tuo nome utente.
Sono assolutamente in disaccordo con questa risposta.Non tiene affatto conto del modello di minaccia di OP e anzi non ne riconosce nemmeno l'esistenza.È la sua chiave di crittografia?È una password per una banca?Un forum?Deve preoccuparsi che l'FBI abbia citato in giudizio Google o solo un hacker casuale che lo impersoni?Se il suo modello di minaccia prevede che un'agenzia governativa decritti il suo disco rigido, allora è un consiglio orribile dire "non cambiare la password".Se il tuo modello di minaccia è più semplice ed è solo la password per un forum, questa risposta è molto più adatta.
#2
+44
Mirsad
2016-04-29 09:13:09 UTC
view on stackexchange narkive permalink

Ti consiglio di cambiare la tua password. Il fatto è che la tua password è stata inviata ai loro server, anche se non hai premuto Invio.

Puoi testarlo da solo, apri il browser, Ctrl + Maiusc + I, seleziona la rete , inizia a digitare e monitora il traffico.

Ecco un esempio, scrivendo la parola chiave "test" e senza premere Invio .

Presta attenzione alla lettera q , che sta per query di ricerca: t, te, tes, test , come puoi vedere è quasi la stessa cosa di un keylogger .

enter image description here

Premendo Ctrl + Maiusc + non mi ho dato la stessa vista di te.Ho provato Chrome, Firefox e IE.Quale browser stavi utilizzando?E se fosse Chrome, su cosa clicco dopo "Rete" per ottenere la tua stessa visualizzazione?Grazie.
@kmort Utilizzando Chrome, premi Ctrl + Maiusc + I, vai alla scheda Rete.Assicurati che la console per sviluppatori sia agganciata a destra.Assicurati che il traffico venga registrato (facoltativamente cancella il registro) e digita.Dovresti vedere i collegamenti popolati come `https: //www.google.ca/complete/search? ...` Fare clic sul collegamento, andare alla scheda * Intestazioni * e scorrere verso il basso fino a * Parametri stringa di query *.Se comprimi tutte le altre sezioni, sarà simile a ciò che mostra l'immagine nel post.
@JSBob Wow.Questo è davvero fantastico.Il passaggio che mi mancava è fare clic sull'URL corretto.Grazie JSBob.
#3
+25
Ángel
2016-04-29 05:02:05 UTC
view on stackexchange narkive permalink

È stato inviato (crittografato) a Google. Cambia la tua password

Probabilmente è stata registrata da qualche parte, insieme a molti termini di ricerca e altre persone spazzatura hanno digitato lì. Sebbene sia improbabile che venga utilizzato per qualsiasi cosa ti interessi o che metta in pericolo il tuo account, perché sopportare il rischio? Basta cambiarlo per risolverlo.

PS: consiglio di utilizzare una barra di ricerca del browser, con suggerimenti disabilitati .

Non uso una barra per tutto, ma una barra degli indirizzi, che contiene solo suggerimenti sulla cronologia e non invierà mai nulla a nessun motore di ricerca, e una barra di ricerca più piccola, che mostra suggerimenti da server remoti.
@GustavoRodrigues È anche così che preferisco che si comporti.Si può arrivare a questo punto utilizzando "http: //% s" come motore di ricerca predefinito.
In realtà le tue informazioni sono più sicure se non ti connetti a Internet.
#4
+8
Stoud
2016-04-29 05:02:43 UTC
view on stackexchange narkive permalink

Teoricamente, dovresti cambiare la tua password, poiché digitandola in google la password viene inviata a google.
Tuttavia, Google utilizza https e personalmente non sarei troppo preoccupato che Google abbia la mia password per la ricerca, ma ehi, non è l'ideale.
Realisticamente, penso che dovresti stare bene, ma se vuoi sicurezza completa, non può far male cambiare la tua password.

Con Google, https viene rimosso dopo aver raggiunto i server di Google e viene archiviato come testo normale.
Ciò richiederebbe essenzialmente un insider di Google o che Google venga violato, giusto?
O una semplice richiesta di cronologia di ricerca degli utenti da parte di un ente governativo?
@MarkBuffalo Non è solo Google.Ogni server https deve decrittografare i dati che riceve per poterli elaborare.
Sì, certo ... ma apparentemente vengono trasferiti su diversi server diversi, e apparentemente c'è una * cosa * in corso con MITM.Google venderà anche i tuoi risultati di ricerca.
@kasperd: ma non tutti i servizi * memorizzano * i dati degli utenti in testo normale, come sostiene Mark Google.Quasi tutti, ma non tutti ;-)
@MarkBuffalo Questa è una speculazione non documentata, in cui non vedo motivo di credere.
@SteveJessop La maggior parte dei servizi online memorizzerà i tuoi dati in testo normale.L'unica eccezione è la password di accesso, che servizi decenti memorizzano come hash salato.Per altri dati raramente si ha un'alternativa alla memorizzazione in testo normale sul server.
@kasperd [Sono d'accordo] (https://d1udmfvw0p7cd2.cloudfront.net/wp-content/uploads/2013/11/nc20131113d1a.jpg), ma se qualcuno di questi server è compromesso, beh, lo sai.
@Stoud: beh, Google stesso può essere considerato un grande spyware.Usano tutti i dati che hai inviato per guadagnare di più.Anche se probabilmente non venderanno il tuo IP + password a parti intraprendenti (solo perché è dannoso per le PR), in teoria potrebbero usarlo per accedere ai tuoi dati e usarlo contro di te nella guerra degli spot pubblicitari mirati.
#5
+6
Nathaniel Suchy
2016-04-30 05:27:22 UTC
view on stackexchange narkive permalink

È dubbio, ma considera quanto segue

  • La connessione a Ricerca Google è crittografata. Per quanto ne sappiamo, la cronologia delle ricerche di Google non è stata compromessa. Nel caso in cui la Ricerca Google e la Cronologia web siano abilitate, la cronologia delle ricerche potrebbe teoricamente essere accessibile da qualcuno che è riuscito a entrare nel tuo account. Hai affermato di non aver premuto Invio; probabilmente non è mai stato memorizzato nel tuo account, in tal caso.
  • Nel caso in cui Google registri i suggerimenti di ricerca prima di premere invio, potrebbe teoricamente essere collegato al tuo indirizzo IP e / o account se eri loggato a il tempo. Se il tuo account è stato ordinato da un tribunale per ottenere informazioni in modo tempestivo, potrebbe essere in grado di recuperare le informazioni e testarle su vari account e / o utilizzarle contro la crittografia completa del disco. Se questo è un problema per te, cambierei la password in questione.
  • Se qualcuno sta attaccando attivamente la tua connessione wireless, ha un falso certificato SSL di root installato sul tuo computer o utilizza un altro MITM potrebbero indovinare che si tratta di una password e usarla per aiutare ulteriori attacchi.

Alla fine dipende da due fattori: chi è il tuo avversario e quanto è preziosa la password . Se fossi nella tua situazione, probabilmente cambierei la mia password per stare al sicuro.

Votato perché "Alla fine dipende da due fattori: chi è il tuo avversario e quanto è preziosa la password".è la chiave.Le risposte attualmente popolari sono semplicistiche, poiché non includono questo punto.Aggiungendolo alla risposta popolare.
#6
+4
James Bradbury
2016-04-29 20:03:38 UTC
view on stackexchange narkive permalink

Anche se probabilmente è stato crittografato come altri hanno affermato, c'è il rischio che venga visualizzato di nuovo come una ricerca suggerita se si digitano gli stessi primi caratteri come parte di una vera ricerca su Google. Se è stato visualizzato di nuovo, potrebbe essere a rischio di surfisti spalla.

Quindi ti suggerisco di cambiare la tua password.

#7
+1
Adam Shostack
2016-04-29 20:39:28 UTC
view on stackexchange narkive permalink

Penso che tu stia facendo la domanda sbagliata e suggerirai alcune modifiche.

La tua domanda ("A causa del completamento automatico, la mia password è a rischio?") implica che tu abbia un'unica password e preoccupazioni per la minaccia di esposizione da digitarla in un motore di ricerca. Probabilmente non devi preoccuparti di questo, ma devi preoccuparti che uno o più siti in cui sei entrato siano stati violati.

Queste fughe di dati sono comuni. Hanno un impatto sui siti che memorizzano semplicemente la password in testo non crittografato (mi viene in mente RockU) su siti come Ashley Madison, che utilizzava un algoritmo decente per l'archiviazione, mal implementato.

Pertanto, se si dispone di una sola password stai usando su molti siti, probabilmente è trapelato in associazione con il tuo indirizzo email.

Ti consiglio di utilizzare un gestore di password. Penso che 1Password sia una buona scelta. Utilizzo la sincronizzazione tra dispositivi per eseguire il backup del mio vault e non memorizzo nemmeno le password crittografate nel cloud.

#8
+1
Anonymous friendo
2016-05-01 00:31:34 UTC
view on stackexchange narkive permalink

In teoria, sì, poiché la tua password è stata inviata a Google ed è molto probabilmente memorizzata da qualche parte insieme a miliardi di altre stringhe brevi.

In pratica, però, la probabilità che quella password esca da quel database e in qualche modo farsi strada verso un utente malintenzionato che cerca di usarlo per accedere al tuo account è di diversi ordini di grandezza inferiore rispetto a molti altri attacchi banali a cui sei costantemente esposto. Quindi, a meno che tu non stia utilizzando un sistema di altissima sicurezza (qualcosa come un server DNS root o un certificato CA root), preoccuparti sarebbe irrazionale.

In effetti, direi che ci sono buone possibilità che la probabilità che qualcosa vada storto durante la modifica della password e che tu finisca comunque bloccato o compromesso potrebbe essere superiore alla probabilità che tu venga compromesso da questo.

#9
-4
Slim Shady
2016-04-29 23:21:24 UTC
view on stackexchange narkive permalink

Non può essere possibile (per quanto ne so PHP e MySQL). Questo perché PHP (un linguaggio nello sviluppo web) dice a MySQL (server database) di memorizzare l'input dopo che è stato INVIATO.

E l'auto-completamento, non so molto su di esso o quale lingua viene utilizzata per creare quel tipo di funzionalità, ma penso che ottenga solo ciò che corrisponde di più alla tua stringa (cioè la tua password) .

Poiché in realtà non esiste un database di Google per memorizzare le password accidentali che non sono state inviate.

E anche SE (Google) ottiene la password, non possono dirlo per quale account, per quale nome utente. Quindi, smettila di preoccuparti.

come rispondi quindi a tutte le risposte dicendo che tutto ciò che digiti nella barra di ricerca viene inviato a Google (ri: completamento automatico, suggerimenti automatici)
Spero di non fraintendere la tua domanda, ma farò solo finta di averla capita.In realtà, non sono realmente "inviati", b / c quando dici inviati, significa che sono inviati e anche elaborati (memorizzati o usati come parola chiave).Quindi quella cosa del suggerimento automatico è PROBABILMENTE JQuery o AJAX non sono sicuro.Per favore, chiarisci la tua domanda se non la capisco.
Come può la barra di ricerca restituire suggerimenti automatici senza "invio" ed "elaborazione" sul lato server?È davvero importante quali tecnologie vengono utilizzate?
I codici che ho scritto in JQuery consistevano nelle parole che verranno mostrate come suggerimenti, quindi i suggerimenti non possono andare oltre quelle parole.Ho creato una funzione di autosuggestione molto semplice che funzionava senza elaborazione (è la natura del linguaggio da eseguire in qualsiasi momento come CSS es. Quando passi il mouse su una cosa in una pagina potrebbe cambiare i colori o avere un'animazione ma la pagina non viene caricatadi nuovo per elaborare lo hovering).Quindi, quello che penso è che Google non memorizza ogni combinazione di parole da suggerire, ma utilizza piuttosto ricerche predefinite o contenuti di siti Web o entrambi, ma non può
@BenJunior se fosse vero, da dove pensi che verrebbero questi elenchi di "ricerche predefinite"?
quindi, stai dicendo che il suggerimento automatico viene eseguito sul lato client?
Oddio, ho detto "Ricerche preimpostate", scusa errore di digitazione: P
@BenJunior riguardo a cosa si intende per "inviato", il buco è molto più profondo, ma anche se fosse semplice come "la cosa autosuggestiva è AJAX", anche allora il server ha conoscenza di ciò che è stato scritto nella casella di ricerca, e da lìacceso, poiché conoscono i dati, non c'è più nulla che tu possa affermare.
Ok, aspetta, sono un po 'confuso in questo momento, non per quanto riguarda la password, ma da che parte stai. Voglio dire, stai dicendo "Sì, è una grande minaccia" o "Rilassati e vai a guardare Spongbob come se non fosse successo niente" esei solo contro di me?
Non c'è bisogno di trattare con assoluti.Il fatto è che i server di Google _do_ conoscono la tua password quando la digiti anche senza premere Invio.Google ha quindi la capacità di fare quello che vuole con questi dati.Tuttavia, la possibilità che ci siano conseguenze pratiche non è grande, in questo caso.Se consideri questa "una grande minaccia" o "un motivo per rilassarsi" dipende dalla situazione della persona: cosa ha da perdere, se è severa o rilassata in materia di sicurezza e privacy, ecc.
Digiterò la mia password, ** la invierò ** e vedrò cosa succede.Perché Google non saprà per quale (tipo di) account e per quale nome utente appartiene.E sono dannatamente sicuro che non succederà nulla tranne che qualcuno si aspetta che tu inserisca password irragionevolmente nella tua casella di ricerca senza altre informazioni sull'account e ha già preparato un attacco di phishing e la pagina che hai digitato non era la pagina originale di Googlepiuttosto la pagina di phishing in cui sei entrato in qualche modo e anche di più, per queste eccezioni devi presentare.
@BenJunior ti manca il punto del problema con la tua risposta.Affermi che "non può essere possibile".Considerando che la domanda è "è stato registrato?"stai affermando che la password non è stata impostata su Google perché l'OP non ha premuto invio.Penso che abbiamo dimostrato che è categoricamente falso.Stai ora sostenendo, "non importa se è registrato", che è una risposta completamente diversa.Quindi, la tua risposta e le tue argomentazioni sono disconnesse e un po 'prive di senso.
@schroeder Va bene allora.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...