Domanda:
Se inserisco una password nel sito sbagliato, dovrei considerarla compromessa?
JonnyWizz
2015-11-12 20:30:12 UTC
view on stackexchange narkive permalink

Recentemente ho iniziato a utilizzare un gestore di password e buone pratiche per le password. Ho una password diversa per ogni sito che utilizzo.

Se utilizzo accidentalmente la password di un altro sito quando accedo a una pagina web, dovrei considerare la password compromessa e cambiarla?

Es

  • Se la mia password per www.example.com era passwordOne
  • E la mia password per www.ejemplo.com era contraseñaUno
  • E provo accidentalmente per accedere a www.example.com con la password contraseñaUno

Avrei bisogno di aggiornare la password per www.ejemplo.com?

Posso vedere un simile ma diverso domanda qui, ma si riferisce alla password inserita nel campo del nome utente.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/31641/discussion-on-question-by-jonnywizz-if-i-enter-a-password-on-the-wrong- site-sho).
Dieci risposte:
Gudradain
2015-11-12 22:34:05 UTC
view on stackexchange narkive permalink

Solo per fare l'avvocato del diavolo ...

È probabile che tu venga compromesso come se stessi usando la stessa password su entrambi i siti *.

Come la maggior parte delle persone ha sottolineato, probabilmente non devi preoccuparti. Non tanto perché un sito Web non può fare la differenza tra una password buona o sbagliata, ma piuttosto perché la maggior parte dei siti Web che visiterai probabilmente non registrerà la tua password. La ragione è semplicemente che non fornisce loro alcun valore. La maggior parte dei siti web sono lì per fare affari legittimi e quindi non vedono alcun valore nell'essere dannosi registrando ogni password inserita.

Tuttavia, se avessi intenzioni malvagie e volessi raccogliere molte possibili password, ospitare un servizio online per raccogliere le password sarebbero probabilmente un'alternativa migliore rispetto al tentativo di forzare ogni possibile combinazione. Catturare tutte le password, anche quelle cattive, non è una cattiva idea se stai ospitando quel tipo di "servizio". È molto probabile che gli utenti che hanno più password immettano le password sbagliate sul sito sbagliato, quindi registrare sia tentativi sbagliati che buoni è un buon piano di attacco.

Ad esempio, considera questa citazione da https : //howsecureismypassword.net/

Questo sito potrebbe rubare la tua password ... non lo è, ma potrebbe esserlo facilmente.
Fai attenzione a dove digiti la password.

Mette le cose in prospettiva. Inoltre, un tale "servizio" malvagio è così improbabile? È difficile da dire ma di sicuro non è niente di nuovo: https://xkcd.com/792/

Nota * : beh, ho detto "come probabile" ma non è esattamente vero. Utilizzando la stessa password su molti siti non si è solo vulnerabili ai siti dannosi ma anche all'incompetenza dei proprietari dei siti. Molti siti web memorizzano ancora la tua password come testo normale nel loro database o utilizzano un hashing debole, il che significa che se un utente malintenzionato è in grado di rubare il proprio database, la tua password è compromessa.

Questo è un buon punto e il motivo per cui i siti Web di controllo delle violazioni affidabili non richiedono password. Chiedono invece indirizzi e-mail e controllano se hanno subito violazioni dei dati. Una password senza un identificatore di account corrispondente dovrebbe essere praticamente inutile, tranne come voce in un lungo elenco di "potenziali password".
@Matthew Ebbene, la maggior parte dei siti richiede un indirizzo email come nome utente. L'utente riutilizzerà lo stesso indirizzo su ogni sito. Quindi, una volta che l'attaccante ha ottenuto una combinazione nome utente / password, deve solo provare alcuni siti comuni come Facebook, Google, StackOverflow, ecc.
Ciò si applicherebbe a un sito dannoso, che non è la situazione menzionata. Non è presente alcun attaccante in questo caso
@Matthew Non ha mai detto se il sito è dannoso o meno. Per quanto ne sappiamo, qualsiasi sito che non controlliamo potrebbe essere dannoso.
Sicuramente non "così probabile". Quando si utilizza la stessa password, la password (o un hash) verrà sicuramente salvata su site1 e site2. Un hacker che ottiene il database può provare a recuperare la tua password. Con un semplice tentativo di password, è molto probabile che la password utilizzata per il tentativo stesso non venga registrata.
@Konerak: Solo gli incompetenti ei malintenzionati salvano la password di accesso, in chiaro o crittografata, poiché un hash correttamente salato è sufficiente allo scopo e non può essere annullato in modo pratico. E che il sito sia onesto o meno, potrebbe essere compromesso, sia utilizzando l'ingegneria sociale (cattivi dipendenti o posta nera, incluso il tipo legale), l'accesso fisico o l'hacking.
Deduplicatore: sono d'accordo. Devi solo rafforzare la mia argomentazione.
@Konerak Sono d'accordo. Ho modificato la risposta per tenerne conto.
Matthew
2015-11-12 20:39:02 UTC
view on stackexchange narkive permalink

Probabilmente stai bene: non esiste una distinzione particolare tra una password sbagliata per il sito giusto e una password corretta per il sito sbagliato. Anche se ci fosse, il sito che ha ricevuto la password sbagliata non saprebbe su quale sito avrebbe dovuto essere utilizzato.

E questo prima di considerare che sarebbe raro registrare le password per tentativi di accesso falliti .

Nessun danno nel cambiarlo, ma a meno che non utilizzi il nome dell'altro sito come password, sembra improbabile che qualcuno possa fare uso delle informazioni.

Inoltre, se il nome utente (e-mail) utilizzato è lo stesso, è più probabile che possa finire in un dizionario da qualche parte.
È molto plausibile che la password del registro del sito dannoso non sia riuscita poiché non è affatto raro scrivere la password sbagliata sul sito sbagliato quando si hanno molte password da ricordare. Inoltre, sembri sovrastimare enormemente il lavoro necessario per trovare il servizio giusto quando hai già una possibile combinazione nome utente / password. Prendi i 1000 servizi più popolari e hai buone possibilità di ottenere un accesso riuscito. 1000 tentativi non sono nulla quando si tenta di decifrare le password.
@Gudradain Esiste una distinzione tra un sito dannoso e un sito visitato accidentalmente. È improbabile che un sito legittimo in cui ti capita di digitare la password sbagliata registri le password. Un sito dannoso è un problema diverso
Perché dire quale sito è dannoso e quale non lo è è molto facile. Destra?
@Gudradain In questo caso, sì. Se digiti la tua password di Facebook in una casella di accesso di Twitter, non verrà registrata, non verrà utilizzata contro di te. Idem viceversa. Non si tratta di attacchi di phishing, in cui il sito sta attivamente cercando di ottenere dettagli
@Gudradain OP ha detto di avere un account in entrambi i siti, ha solo confuso le sue due password ... Perché dovrebbe avere un account in un sito sospetto?
@Mr.E Perché, anche se si tratta di un sito che visiti frequentemente, è molto difficile dire se quel sito non abbia un'attività secondaria di cracking delle password. Per quanto ne so, stackoverflow potrebbe registrare tutti i miei tentativi di password, se lo desiderano.
@Matthew Tuttavia non possiamo mai saperlo. ** In pratica ** parlando, la registrazione della password per i tentativi falliti non è quasi mai un problema. Tuttavia, ** realisticamente ** parlando, non ci sono garanzie. Nel 2008, sono stato incaricato di fare del lavoro di sviluppo su un forum basato su vBulletin con diversi milioni di utenti. Durante l'aggiornamento a diversi moduli, mi è capitato di scoprire che uno degli script php aveva un timestamp diverso da tutto il resto. È stato allora che ho scoperto che ogni tentativo di accesso veniva registrato per almeno 6 mesi e nessuno lo sapeva. Succede di merda.
Anche se i proprietari del sito sono bravi ragazzi, perché dipendere dalla loro sicurezza senza macchia? E perché dipendere dal fatto che siano onesti più che necessari? Potrebbero cooperare con chiunque in silenzio per qualsiasi motivo ritengano sufficiente, come le leggi.
@Gudradain Penso che questo non rientri nell'ambito della domanda. Come sappiamo che OP non ha un keylogger? Il suo gestore di password è vulnerabile? Ci sono milioni di possibilità, consiglieresti di cambiare la tua password ogni volta che la usi solo perché il sito web potrebbe memorizzarla? Penso di no...
d0nut
2015-11-12 20:34:21 UTC
view on stackexchange narkive permalink

Anche se immagino che la maggior parte degli sviluppatori web sani di mente non registrerebbe versioni in chiaro dei tentativi di password falliti, è ancora possibile. Se vuoi andare sul sicuro puoi considerarlo compromesso e reimpostare quella password; tuttavia, personalmente non lo considererei un problema a meno che non sentissi oltre ogni ragionevole dubbio che il primo sito potrebbe potenzialmente presentare un rischio per me.

Non sono sano di mente, sono semplicemente troppo pigro, anche se l'ho considerato.
La mia domanda sarebbe: "Con programmi come lastpass che rendono così facile cambiare la tua password, perché NON cambiarla?" Per lo meno, ti darà la tranquillità e questo vale MOLTO.
Se hai lastpass, allora potresti anche cambiarlo, ma non ho supposto che lo facessero. L'essenza generale di ciò che stavo dicendo è questa: * Se sei effettivamente preoccupato, cambialo, altrimenti se non hai motivo di sospettare nulla del sito web su cui hai accidentalmente versato i fagioli (ad esempio Google), allora dovresti stare bene . *
Perché "versioni in chiaro"? Anche se è crittografato in modo reversibile, il proprietario del sito malevolo o l'hacker che può invertire, ha il passaggio.
@Konerak Normalmente non crittografate le password. Li hash che non è un processo reversibile.
@iismathwizard, sì, da qui il "pari". DOVRESTE hash, ma questa risposta diceva "la registrazione del testo in chiaro è una vulnerabilità". Volevo aggiungere "anche la registrazione crittografata è".
@Konerak dove l'ho detto?
kd8azz
2015-11-12 21:46:09 UTC
view on stackexchange narkive permalink

L'unico caso in cui cambierei questa password è se il sito che protegge è sostanzialmente più importante per te del sito in cui l'hai digitato.

Ad esempio, ci sono persone nel mondo che hanno accesso a sistemi a cui gli attori dello stato-nazione sarebbero interessati. Se queste persone dovessero digitare la loro password importante in un altro sito, dovrebbero cambiarla immediatamente.

Penso che questa sia una buona regola dura e veloce per la situazione.
Mi chiedo cosa succederebbe se qualcuno agisse come un "utente honeypot", fornendo una diversa password fasulla a ciascuno di un gran numero di siti e quindi osservando i tentativi di utilizzare quelle password in un determinato sito? Se qualcuno genera una stringa casuale e la utilizza come password per acme.example.com, ma non la distribuisce altrove e successivamente si tenta di utilizzare quella stringa per accedere a uno degli account di quella persona, sembra implicare che qualcuno su acme.example.com lo abbia fatto trapelare. Se si suppone che acme.example.com sia sicuro, tale comportamento potrebbe dare loro un occhio nero.
@supercat: Sì. Ma ciò significa che devi registrare quali password errate sono state utilizzate, per almeno un servizio popolare che usi, almeno per il tuo account. Significa che devi configurarlo con i proprietari. Abbastanza difficile da organizzare, e potrebbe mettere in guardia i cattivi, a seconda di chi sono ... Comunque, una bella idea.
@Deduplicator: L'idea sarebbe che il proprietario di uno dei servizi creerebbe l'honeypot e quindi sarebbe in grado di controllare una delle password malvagie (non registrando tutte le password, ma piuttosto tramite un meccanismo impostato per registrare solo errori specifici password su un utente specifico).
null_pointer
2015-11-12 23:53:53 UTC
view on stackexchange narkive permalink

Considera la password come compromessa . Nessuno può assicurarti che

  • il sito non ha amministratori di sistema non autorizzati.
  • il sito ha password con hash o crittografate.
  • mancano di vulnerabilità sql-injection che consente di recuperare i dati, inclusi nomi utente / email / password.
  • chiunque acceda a questi dati oserà testare l'intrusione in molti altri siti e sarai così sfortunato che colpirà proprio quello.

Finché esiste la minima possibilità che una o tutte le precedenti siano vere, hai una password compromessa.

Come regola generale, la password scomparsa è password vuoto. Cambialo e dormi.

Un'altra storia diversa è se vuoi effettivamente perdere il tuo tempo cambiando una password che non protegge nulla (ad es. Blog vuoto, account di posta elettronica inutile, ...) o il tuo conto bancario.

Cort Ammon
2015-11-12 23:17:10 UTC
view on stackexchange narkive permalink

Il termine "compromesso" non è un sì o un no binario. È un concetto che misura chi ha accesso a un account e quanto i suoi obiettivi possono essere in contrasto con i tuoi.

In questo caso, supponi che chiunque abbia avuto accesso agli accessi su www.example.com ora abbia il tuo parola d'ordine. Ciò include chiunque abbia violato www.example.com e tutti i dipendenti a cui la leadership di www.example.com si fiderebbe con un accesso sufficiente per raccogliere le password dagli utenti (forse una manciata di DBA).

Questi sono tutti i dati . Vai da lì. Se hai utilizzato una password utilizzata per salvaguardare informazioni classificate su un forum, dovresti trattarla immediatamente come compromessa, perché quel livello di esposizione è inaccettabile per un account così privilegiato. Se hai usato la password di un forum su un altro, probabilmente non è il problema più grosso.

Nel mezzo, potresti considerare il caso in cui hai usato la password del tuo conto bancario su un forum. Questa è un'area grigia che dipende interamente dal tuo modello di minaccia personale.

Steve Jessop
2015-11-13 09:42:09 UTC
view on stackexchange narkive permalink

  • Se il sito (beh, la persona dietro di esso) è dannoso, aggiungerà la password non riuscita all'elenco delle cose che sa di te e considererà sicuramente la tattica di provarla su ogni altro account che conosce. Pertanto, dovresti considerarlo compromesso.

  • Se il sito è incompetente, potrebbe in qualche modo far trapelare la tua password non riuscita. Ma se lo fa, perderà anche molti lievi errori di battitura delle proprie password, il che è davvero piuttosto grave per loro. Quindi deve essere davvero piuttosto incompetente.

  • Se il sito è fondamentalmente normale, allora stai bene, non terrà traccia delle password fallite (o di quelle di successo, del resto, a parte il record con hash e salato).

Tieni presente che i siti che sono stati compromessi possono ragionevolmente essere considerati dannosi.

Quindi, è necessario considerare l'equilibrio tra il rischio che siano molto dannosi o molto incompetenti o molto compromessi e il costo associato della compromissione della password rispetto al costo per la modifica della password.

Se temi che il rischio possa essere significativo, cambia la password. Questo di solito è molto semplice quando si utilizza un gestore di password, non è che devi imparare quello nuovo. Tuttavia, è molto probabile che il tuo sforzo non sia necessario, poiché la maggior parte dei siti web sono "fondamentalmente normali" per la maggior parte del tempo.

Dovresti anche riflettere attentamente su cosa ha portato all'errore. Il fatto di aver inserito le proprie credenziali nel "sito sbagliato" è un errore comprensibile, ma assicurati di non essere sistematicamente fallito nel verificare correttamente l'identità dei siti prima di inserire le credenziali, altrimenti stai vulnerabile lì.

Shubhradeep Mallik
2015-11-13 20:24:16 UTC
view on stackexchange narkive permalink

Se hai inserito la password del sito Web A nel sito Web B,

Considera alcuni aspetti: quanto è affidabile il Web B? Web B è un'azienda rinomata conforme agli standard di mercato? I contenuti del Web Davvero vulnerabile? C'è un modo per indovinare dalla password a quale sito web appartiene?

Se sei confuso su una di queste domande, cambiala.

Non saprai mai se il WebManager / SysAdmin sta memorizzando la password come testo grezzo o crittografia decodificabile nel server, o se la stanno proteggendo con un hashing in un modo.

Adrian Panasiuk
2015-11-16 15:30:39 UTC
view on stackexchange narkive permalink

Il sito in cui hai digitato la password errata era facebook.com?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard- crimson-2010-3

Mark ha utilizzato il suo sito, TheFacebook.com, per cercare membri del sito che si sono identificati come membri di Crimson. Quindi ha esaminato un registro di accessi falliti per vedere se qualcuno dei membri di Crimson avesse mai inserito una password errata in TheFacebook.com. Se i casi in cui erano stati inseriti non erano riusciti, Mark ha provato a utilizzarli per accedere agli account di posta elettronica di Harvard dei membri di Crimson. Ha avuto accesso a due di essi con successo.

Probabilmente faresti meglio a presentarlo come esempio di come una password inserita in modo errato potrebbe comprometterla ... quindi sarebbe una risposta chiara nel contesto della domanda originale.
Mark Buffalo
2016-01-29 04:43:32 UTC
view on stackexchange narkive permalink

Equipaggiamo il nostro leggendario [Tinfoil Hat] .

I siti web possono registrare le mie password?

Supponiamo che il sito web abbia eseguito l'hashing correttamente. Quando accedi a un sito web, possono prendere la tua password in chiaro e confrontarla con l'hash memorizzato. Se la password corrisponde all'hash memorizzato nel database, ti consentirà di autenticarti. In caso contrario, ti informerà che la tua password non è valida.

E allora?

Bene, così accade che chiunque con un minimo di conoscenza di programmazione possa registrare password non valide aggiungendo una nuova riga a un metodo di autenticazione per qualsiasi tipo del sito Web ... anche se si tratta di un popolare portale Web open source, forum o qualsiasi tipo di pacchetto. Finché la sorgente può essere modificata, si può cambiare tutto ciò che si desidera, in questo modo: 

  private void CheckPasswordBeforeHackingMyAOL-CD (stringa input, stringa nome utente) {if (IsValid (input) && IsValid (nome utente) && Bcrypt.TestHash (input, Database.GetHashForUser (nome utente)) {AuthenticateMyFace ();} else {Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks (nome utente, input)    > In effetti, un programmatore potrebbe farlo  prima  di eseguire l'hashing per tutto ciò che ha a che fare con le password. Non c'è nulla che impedisca a nessuno di farlo. 
 
 Gestione dei rischi 
 
 Ecco alcune domande da considerare: 
     
  1.  Ti interessa l'integrità di uno degli account? 
    2.  
  2.  La stessa email è in uso in entrambi gli account? 
    3.  
  3.  In questio usi la stessa password sia per l'email che per i siti web n (spero di no)? 
 
 Se sì a 1-3, consiglierei di cambiare la password. A meno che non ti interessi. 


 Ora che abbiamo dimostrato che ciò è possibile su tutti i fronti, dovresti aver paura di un simile attacco? Non me ne preoccuperei. Se sei preoccupato, probabilmente dovresti usare qualcosa come  KeePass per gestire le credenziali del sito web in modo da non doverti preoccupare legittimamente.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...