Ho quasi cercato la mia password, ma non ho premuto invio. La mia password è a rischio, a causa del completamento automatico o di altro?

69

Senza neanche pensarci, ho digitato la mia password nella barra di ricerca di Google, ma non ho premuto Invio. Poiché la funzione di completamento automatico è attiva, significa che la mia password è stata registrata o indicizzata da qualche parte? Sarebbe una buona idea cambiare la mia password o è solo paranoico?

    
posta Randy 29.04.2016 - 01:08
fonte

9 risposte

96

Ne dubito strongmente

  • Non hai premuto invio, ma a volte Google invierà le informazioni per presentare rapidamente i risultati. Questo è forzato su HTTPS. Le tue informazioni erano probabilmente crittografate e non esposte.
  • Secondo la maggior parte delle fonti, Google elabora in media 3,5 miliardi di ricerche al giorno. Non ci sono informazioni aggiuntive per dimostrare che la tua domanda è una password. Né esiste un modo pubblico per una persona per ottenere le query di ricerca di un determinato utente Google. Quindi dovrebbero essere un vero dipendente di Google. È altamente improbabile la probabilità che un dipendente interno di Google tenti di eseguire le query di ricerca come password per il tuo account. Potrebbe non essere nemmeno possibile per la maggior parte dei dipendenti standard di Google ottenere tali informazioni identificative. Ma se è così, la possibilità di uno con tale accesso mirato a te è astronomico.
  • Ancora una volta, non c'è un contesto aggiuntivo per dimostrare che è la tua password. Né le tue informazioni utente sono state inviate con la tua richiesta. Quindi, nel caso di un attacco MITM in cui possono leggere il tuo traffico, lo considererei ancora molto basso in quanto avrebbero anche il tuo nome utente.

Vado fuori piano dire che c'è il 99,9% di possibilità di non avere nulla di cui preoccuparsi. Se stai indossando un cappello di latta o hai ancora un segno di spunta nervoso, cambia la password. Se non utilizzi questa password altrove, sei d'oro dato che non è come se potessero accedere con una vecchia password. Altrimenti andrei avanti e non mi preoccuperei.

Modifica: @reirab ha fatto un punto in modo che potesse apparire nelle funzioni che utilizzano la cronologia delle ricerche. Non credo che ciò accada se non si preme submit. Ma se vuoi essere sicuro cancella la cronologia delle ricerche con Google . Non posso essere sicuro che questo lo cancelli dai server di Google, ma dovrebbe impedire che vengano visualizzati nel completamento automatico.

    
risposta data 29.04.2016 - 04:40
fonte
44

Ti consiglio di cambiare la password. Il fatto è che la tua password è stata inviata ai loro server, anche se non hai premuto invio.

Puoi testarlo da solo, aprire il browser, Ctrl + Shift + I, selezionare la rete, iniziare a digitare e monitorare il traffico.

Ecco un esempio, scrivendo la parola chiave "test" e non premendo invio .

Fai attenzione alla lettera q , che sta per query di ricerca: t, te, tes, test , come puoi vedere è quasi la stessa cosa di un keylogger.

    
risposta data 29.04.2016 - 06:13
fonte
25

È stato inviato (crittografato) a Google. Cambia la tua password

Probabilmente è stato registrato da qualche parte, insieme a molti termini di ricerca e altre persone indesiderate hanno scritto lì. Mentre è improbabile che verrà utilizzato per tutto ciò che ti interessa o che mette in pericolo il tuo account, perché rischiare? Basta cambiarlo per risolverlo.

PS: ti consiglio di utilizzare una barra di ricerca del browser, con suggerimenti disabilitati .

    
risposta data 29.04.2016 - 02:02
fonte
8

In teoria, dovresti cambiare la password, perché digitandola in google la password viene inviata a google.
Tuttavia, Google utilizza https e personalmente non sarei troppo preoccupato che Google avesse la mia password come ricerca, ma hey, non è l'ideale.
Realisticamente, penso che dovresti stare bene, ma se vuoi una sicurezza completa, non può fare male cambiare la tua password.

    
risposta data 29.04.2016 - 02:02
fonte
6

È dubbio, ma considera quanto segue

  • La connessione a Ricerca Google è crittografata. Per quanto ne sappiamo, la cronologia delle ricerche di Google non è stata compromessa. Nel caso in cui la Ricerca Google e la Cronologia web siano abilitate, la cronologia delle ricerche potrebbe teoricamente essere accessibile da qualcuno che è riuscito a penetrare nel tuo account. Hai dichiarato di non aver premuto Invio; probabilmente non è mai stato memorizzato nel tuo account, se questo è il caso.
  • Nel caso in cui Google registri i suggerimenti di ricerca prima di entrare, potrebbe teoricamente essere collegato al tuo indirizzo IP e / o account se ti sei collegato al momento. Se il tuo account è stato ordinato per informazioni in modo tempestivo, è potrebbe essere possibile per loro di recuperare le informazioni e testarle contro vari account e / o utilizzare contro la crittografia completa del disco. Se questo ti preoccupa, cambierei la password in questione.
  • Se qualcuno sta attivamente attaccando la tua connessione wireless, ha un certificato SSL falso root installato sul tuo computer, o usa un altro MITM potrebbe indovinare che è una password e usarla per aiutare ulteriori attacchi.

Alla fine dipende da due fattori: chi è il tuo avversario e quanto è preziosa la password. Se fossi nella tua situazione, probabilmente cambierei semplicemente la mia password per rimanere al sicuro.

    
risposta data 30.04.2016 - 02:27
fonte
4

Anche se probabilmente è stato crittografato come altri hanno affermato, c'è il rischio che possa essere visualizzato di nuovo come ricerca suggerita se dovessi digitare gli stessi primi caratteri di una vera ricerca di Google. Se è stato visualizzato di nuovo, potrebbe essere a rischio spalla surf .

Quindi ti suggerisco di cambiare la tua password.

    
risposta data 29.04.2016 - 17:03
fonte
1

Penso che tu stia facendo la domanda sbagliata e suggerirò alcune modifiche.

La tua domanda ("A causa del completamento automatico, la mia password è a rischio?") implica che hai una sola password e ti preoccupi della minaccia di esposizione digitandola in un motore di ricerca. Probabilmente non devi preoccuparti di questo, ma devi preoccuparti che uno o più dei siti in cui l'hai inserito sia stato violato.

Queste perdite di dati sono comuni. Influenzano i siti che semplicemente memorizzano la password in testo semplice (viene in mente RockU) a siti come Ashley Madison, che utilizzava un algoritmo decente per l'archiviazione, mal implementato.

Pertanto, se hai una singola password che stai utilizzando su molti siti, è probabile che sia stata divulgata in associazione con il tuo indirizzo email.

Raccomando di usare un gestore di password. Penso che 1Password sia una buona scelta. Uso la sincronizzazione tra dispositivi per eseguire il backup del vault e non memorizzo nemmeno le password crittografate nel cloud.

    
risposta data 29.04.2016 - 17:39
fonte
1

In teoria, sì, dal momento che la tua password è stata inviata a Google e probabilmente è archiviata da qualche parte insieme a miliardi di altre stringhe brevi.

In pratica però, la probabilità che quella password di uscire da quel database e in qualche modo verso un aggressore che tenta di usarlo per accedere al tuo account è di diversi ordini di grandezza inferiore a molti altri attacchi banali a cui sei costantemente esposto. Quindi, a meno che tu non stia utilizzando un sistema di sicurezza super alto (qualcosa come un server DNS root o un certificato CA root), preoccuparsi di ciò sarebbe irrazionale.

In effetti, direi che ci sono buone probabilità che la possibilità che qualcosa vada storto mentre si cambia la password e che tu finisca per essere bloccato o comunque compromesso potrebbe essere più alto della probabilità che tu ne venga compromesso.

    
risposta data 30.04.2016 - 21:31
fonte
-4

Non può essere possibile (per quanto ne so PHP e MySQL). Questo perché PHP (un linguaggio nello sviluppo web) dice a MySQL (server di database) di memorizzare l'input dopo che è stato SUBITO.

E il completamento automatico, non so molto su di esso o quale linguaggio è usato per creare questo tipo di funzionalità, ma penso che ottenga ciò che più corrisponde alla tua stringa (cioè la tua password).

Poiché in realtà non esiste un database di Google per memorizzare password accidentali che non sono state inviate.

E anche SE loro (Google) ottengono la password, non possono sapere per quale account, per quale username. Quindi, smetti di preoccuparti.

    
risposta data 29.04.2016 - 20:21
fonte

Leggi altre domande sui tag