Se inserisco una password sul sito sbagliato, dovrei considerarla compromessa?

Solo per recitare l'avvocato del diavolo ...

È probabile che tu venga compromesso come se stessi usando la stessa password su entrambi i siti *.

Come la maggior parte delle persone ha indicato, probabilmente non devi preoccuparti. Non tanto perché un sito web non può fare la differenza tra una password buona o sbagliata, ma piuttosto perché la maggior parte dei siti web che visiterai probabilmente non registreranno la tua password. Il motivo è semplicemente che non fornisce loro alcun valore. La maggior parte dei siti web è lì per fare affari legittimi e quindi non vedere alcun valore nell'essere dannosi registrando ogni password inserita.

Tuttavia, se avessi intenzioni malvagie e volessi raccogliere molte password possibili, l'hosting di un servizio online per raccogliere le password sarebbe probabilmente un'alternativa migliore rispetto a cercare di applicare la forza bruta a tutte le possibili combinazioni. Catturare tutte le password, anche quelle cattive, non è una cattiva idea se si ospita quel tipo di "servizio". Gli utenti che hanno più password sono molto propensi a inserire le password sbagliate sul sito sbagliato, quindi registrare i tentativi non validi e il buon tentativo è un buon piano di attacco.

Ad esempio, considera questa citazione dal link

This site could be stealing your password… it's not, but it easily could be.
Be careful where you type your password.

Mette le cose in prospettiva. Inoltre, questo "servizio" così cattivo è così improbabile? È difficile da dire, ma di sicuro non è una novità: link

Nota * : ho detto "probabilmente" ma non è esattamente vero. Usando la stessa password su molti siti non sei solo vulnerabile ai siti malevoli ma anche all'incompetenza dei proprietari dei siti. Molti siti Web memorizzano ancora la password in chiaro nel loro database o utilizzano un hashing debole, il che significa che se un utente malintenzionato è in grado di rubare il proprio database, la password è compromessa.

Probabilmente stai bene - non c'è distinzione particolare tra una password errata per il sito giusto e una password corretta per il sito sbagliato. Anche se ci fosse, il sito che ha ricevuto la password sbagliata non avrebbe saputo su quale sito doveva essere usato.

E questo è prima di considerare che sarebbe raro registrare le password per tentativi di accesso falliti.

Nessun danno nel cambiarlo, ma a meno che tu non usi il nome dell'altro sito come password, sembra improbabile che qualcuno possa utilizzare le informazioni.

Anche se immagino che la maggior parte degli sviluppatori Web non registrino le versioni in chiaro dei tentativi di password non riusciti, è ancora possibile. Se vuoi essere sicuro, puoi considerarlo compromesso e reimpostare la password; tuttavia, personalmente non lo considererei un problema a meno che non sentissi oltre ogni ragionevole dubbio che il primo sito potrebbe potenzialmente rappresentare un rischio per me.

L'unico caso in cui cambierei questa password è se il sito che protegge è sostanzialmente più importante per te rispetto al sito in cui l'hai digitato.

Per esempio, ci sono persone nel mondo che hanno accesso a sistemi a cui gli attori dello stato nazionale sarebbero interessati. Se queste persone dovessero digitare la loro password importante in qualche altro sito, dovrebbero cambiarlo immediatamente.

Tratta la password come compromessa . Nessuno può assicurarti che

• il sito non ha nessun amministratore di sistema canaglia.
• il sito ha hash o password crittografate.
• mancano di vulnerabilità di sql-injection che consentono di recuperare dati, inclusi nomi utente / email / password.
• chiunque acceda a questi dati avrà il coraggio di testare l'intrusione in molti altri siti e sarai così sfortunato da colpire proprio quello.

Finché esiste la sottile possibilità che uno o tutti i precedenti siano vere, hai una password compromessa.

Come regola generale, la password è passata, la password è nulla. Cambia e dormi.

Un'altra storia diversa è se in realtà vuoi perdere tempo a cambiare una password che non protegge nulla (es. blog vuoto, account email inutile, ...) o il tuo conto bancario.

Il termine "compromesso" non è un binario si o no. È un concetto che misura chi ha accesso a un account e quanto i loro obiettivi possono essere in contrasto con i tuoi.

In questo caso, supponi che chiunque abbia avuto accesso agli accessi su www.esempio.com ora abbia la tua password. Ciò include chiunque abbia violato www.example.com e qualsiasi dipendente a cui la dirigenza di www.example.com si fidi con sufficiente accesso per raccogliere le password dagli utenti (forse una manciata di DBA).

Ecco tutti i dati. Vai da lì. Se hai usato una password usata per salvaguardare le informazioni classificate su un forum, dovresti trattarla come compromessa immediatamente, perché quel livello di esposizione è inaccettabile per un account così privilegiato. Se hai usato la password di un forum su un altro, probabilmente non è il più grande affare.

Nel mezzo, potresti considerare il caso in cui hai usato la password del tuo conto bancario su un forum. Questa è un'area grigia che dipende interamente dal tuo modello personale di minaccia.

• Se il sito (beh, la persona dietro di esso) è malvagio, allora aggiungerà la password fallita alla lista delle cose che sa su di te, e considererà certamente la tattica di provarlo su ogni altro account lo sa. Pertanto, dovresti considerarlo compromesso.

• Se il sito è incompetente, potrebbe in qualche modo perdere la password fallita. Ma se lo fa, produrrà anche un lotto di errori di battitura delle proprie password, il che è davvero piuttosto serio per loro. Quindi deve essere davvero piuttosto incompetente.

• Se il sito è fondamentalmente normale allora stai bene, non manterrà alcun record di password non riuscite (o di successo, se questo è diverso dal record hash e salato).

Tieni presente che i siti che sono stati loro stessi compromessi possono essere ragionevolmente considerati dannosi.

Quindi, devi considerare l'equilibrio tra il rischio che siano molto malevoli o molto incompetenti o molto compromessi e che il costo associato della password venga compromesso, a fronte del costo per la modifica della password.

Se temi che il rischio possa essere significativo, cambia la password. Questo è solitamente molto facile quando si utilizza un gestore di password, non è come se si dovesse imparare quello nuovo. Tuttavia, il tuo sforzo è molto probabilmente non necessario, dal momento che la maggior parte dei siti web è "sostanzialmente normale" il più delle volte.

Dovresti anche riflettere attentamente su ciò che ha portato all'errore. Il fatto che tu abbia inserito le tue credenziali nel "sito sbagliato" è un errore comprensibile, ma assicurati di non sistematicamente di non riuscire a verificare correttamente l'identità dei siti prima di inserire le credenziali, altrimenti sei vulnerabile lì.

Se hai inserito la password del sito web A nel sito B,

Considera alcuni aspetti- Quanto è affidabile il Web B? Web B è una rinomata società conforme agli standard di mercato? I contenuti di Web A sono veramente vulnerabili? C'è un modo per indovinare dalla password a quale sito web appartiene?

Se sei confuso su una di queste domande, cambialo.

Non si saprà mai se il WebManager / SysAdmin sta memorizzando la password come un testo non elaborato o una crittografia Decodificabile nel server, oppure lo stanno proteggendo mediante un hashing di un solo modo.

Il sito in cui hai digitato la password errata è facebook.com?

link

Mark used his site, TheFacebook.com, to look up members of the site who identified themselves as members of the Crimson. Then he examined a log of failed logins to see if any of the Crimson members had ever entered an incorrect password into TheFacebook.com. If the cases in which they had entered failed logins, Mark tried to use them to access the Crimson members' Harvard email accounts. He successfully accessed two of them.

Equipaggiamo il nostro Leggendario [Tinfoil Hat] .

I siti Web possono registrare le mie password?

Supponiamo che il sito Web abbia eseguito correttamente l'hashing. Quando si accede a un sito Web, è possibile prendere la password in chiaro e confrontarla con l'hash memorizzato. Se la passsword corrisponde all'hash memorizzato nel database, ti permetterà di autenticarti. In caso contrario, ti informerà che la tua password non è valida.

Quindi cosa?

Bene, succede che chiunque con un minimo di conoscenza di programmazione possa registrare password non valide aggiungendo una nuova riga a un metodo di autenticazione per qualsiasi tipo di sito web. anche se si tratta di un famoso portale web open source, forum o qualsiasi tipo di pacchetto. Finché la sorgente può essere modificata, si può cambiare tutto ciò che vogliono, in questo modo:

private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
    if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
    {
        AuthenticateMyFace();
    }
    else
    {
        Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
        InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
    }
}

In effetti, un programmatore potrebbe eseguire questo hashing prima per tutto ciò che riguarda le password. Non c'è niente che impedisca a nessuno di farlo.

Gestione del rischio

Ecco alcune domande da considerare:

1. Ti interessa l'integrità di entrambi gli account?
2. La stessa email è in uso in entrambi gli account?
3. Usi la stessa password sia per l'e-mail che per i siti Web in questione (spero di no)?

Se sì a 1-3, consiglierei di cambiare la password. A meno che tu non ti interessi.

Ora che abbiamo dimostrato che questo è possibile su ogni fronte, dovresti aver paura di un simile attacco? Non me ne preoccuperei. Se sei preoccupato, dovresti probabilmente usare qualcosa come KeePass per gestire le credenziali del sito web in modo da non doverti preoccupare.