È sicuro visualizzare informazioni su vecchie password in caso di errore di accesso?

6

Quando ho cambiato la mia password di Facebook ieri, per errore ho inserito quello vecchio e ho ottenuto questo:

Mimancaqualcosaquioquestoèungrossorischiopotenzialepergliutenti.

SecondomequestoèunproblemaPERCHÉèFaceBookedèusatoda,beh,tuttieleultimestatistichemostranocheil76,3%degliutentisonoidioti[fonte: me ], cioè più di 3/4 !!

Tutti scherzi a parte:

  • Non sono queste informazioni utili per un utente malintenzionato?
  • Rivela informazioni private sull'utente!
  • Potrebbe aiutare l'utente malintenzionato ad accedere a un altro sito in cui l'utente ha utilizzato la stessa password
    • Certo, non dovresti usare la stessa password due volte (ma ricorda: 76,3% !!!)
  • Questo non fa semplicemente aumentare la superficie degli attaccanti?
  • Aumenta le possibilità di ottenere informazioni utili almeno.
  • In un sito come Facebook, la prima scelta per gli hacker e le (cattive) persone interessate a informazioni personali di valore non dovrebbe far aumentare la possibilità che una vulnerabilità venga rimossa?

Mi manca qualcosa? Sono paranoico? Il 76,3% degli account verrà compromesso dopo questo post?

    
posta Trufa 09.02.2011 - 15:41
fonte

5 risposte

8

Penso che il rischio per la sicurezza sia minore.

Tuttavia, mi sentirei molto meglio se rimuovessero il testo che ti dice che hai provato una vecchia password e hai appena mostrato questo messaggio ogni volta che hai inserito una password non valida dopo aver cambiato la password di recente.

Penso che ti darebbe il meglio di entrambi i mondi - ti consente di sapere che la tua password è stata cambiata di recente, e da dove proviene, e ti avvisa che potresti provare a usare una vecchia password. Non fornisce una delle tue (seppur vecchie) password ai potenziali aggressori

    
risposta data 09.02.2011 - 16:34
fonte
5

Direi che potrebbe essere un rischio per la sicurezza, anche se minore.

Quello che dice a un utente malintenzionato è, SÌ, quella password utilizzata come password valida per questo indirizzo email.

Come dice Trufa, l'attaccante potrebbe quindi prendere questa combinazione e provare altri siti. Quindi non sarà un problema di sicurezza su Facebook (unles ... come gestisce Facebook reimpostando la password su una vecchia password?), Ma potrebbe essere su altri siti.

    
risposta data 09.02.2011 - 16:25
fonte
1

Non vedo quale sia il rischio per la sicurezza, non ti dice quale sia la vecchia password , ma è stata modificata. Se l'utente malintenzionato può indovinare la tua vecchia password, allora non era una buona password per cominciare.

In realtà, un problema per Facebook è esattamente che le persone hanno hanno password deboli, e non è raro che un amante o un bullo della scuola indossi "indovina" la tua password, cambialo così non puoi più effettua l'accesso e poi invia un sacco di cose dannose su di te con il tuo nome.

Suppongo che abbiano aggiunto questa funzione in risposta a tale problema, in modo che tu sappia se non riesci ad accedere e dice "La tua password è stata modificata (qualche altro computer)" che probabilmente hai avuto il tuo account compromessa.

    
risposta data 09.02.2011 - 16:14
fonte
1

A mio modesto parere:

  • È una pessima pratica
  • Indica a un utente malintenzionato: "stai diventando più caldo"
  • Non deve essere fornito alcun suggerimento su una password diversa da "password o nome utente errati" . Nota che il messaggio dovrebbe anche lasciarti con il dubbio che tu inserisca la password sbagliata o il nome utente sbagliato.
  • Facebook potrebbe anche dirti:

"Spiacente, la password che hai inserito appartiene all'utente John Smith"

o

"Spiacenti, la password che hai inserito è disattivata di due caratteri"

    
risposta data 04.10.2013 - 17:14
fonte
-6

In realtà è piuttosto standard.

Se fai clic sul link della richiesta, tieni indirizzato a una pagina in cui puoi inserire abbastanza informazioni da poter identificare il tuo account (l'indirizzo email o il numero di telefono è il più semplice) e ti invierà una nuova password. Non puoi impostare o visualizzare la nuova password da quella pagina, quindi un hacker dovrebbe anche avere accesso alla tua email.

Questo è il modo in cui funziona la maggior parte dei sistemi di autenticazione online, inclusi i sistemi utilizzati dai siti StackExchange, per quanto ne so.

    
risposta data 09.02.2011 - 16:18
fonte

Leggi altre domande sui tag