L'opzione di passare agli spazi vuoti nei campi della password rappresenta un rischio per la sicurezza?

Naviga le tue risposte
51

Usando Ctrl + / , è un comportamento comune tra diversi sistemi operativi saltare da una parola all'altra (o da bianco a vuoto) nei campi di immissione del testo.

Ora ho scoperto che questo si applica anche ai campi password in Internet Explorer 8 e 11 (non l'ho ancora provato su altre versioni): il testo attuale è mascherato da punti elenco, tuttavia sono in grado di trovare spazi vuoti usando la combinazione di tasti menzionata.

Almeno in Chrome 38, la combinazione salta solo tra l'inizio e la fine dell'intero testo.

  • Perché non è stato risolto in Internet Explorer?
  • Può essere considerato un rischio per la sicurezza? È rilevante solo se la password è memorizzata; Immagino che questo apra dei vettori di attacco più seri usando strumenti esterni, come la lettura della password dall'archivio password o l'uso di strumenti di smascheramento. Ancora, saltando la parola, è possibile avere un'idea veloce della password usando le "funzionalità" incorporate di Internet Explorer
  • È possibile modificare il delimitatore di parole (uno spazio bianco?) in fase di esecuzione? Quindi potrei cambiarlo in 'a' e saltare a ogni 'a' usando i tasti freccia?
  • Come menzionato nei commenti, è anche possibile passare a caratteri speciali come $ , sebbene qui il cursore si fermi prima e dopo il carattere. L'esatto "algoritmo di salto" è documentato ovunque?
  • Ci sono altri problemi con il comportamento descritto di Internet Explorer?
posta stuXnet 16.10.2014 - 13:14
fonte

7 risposte

38

No, non è un rischio per la sicurezza.

Avere memorizzato le password in un browser è un rischio per la sicurezza. Lasciando che un utente malintenzionato acceda al tuo computer da quando hai digitato la password e prima che venga inviato è un rischio per la sicurezza (e anche dopo averlo inviato, devi preoccuparti del furto di cookie di sessione validi). Essere in grado di passare a spazi vuoti / caratteri speciali in una password digitata non è un rischio.

Dopo che una password è stata digitata nel campo della password, è nel DOM del browser e richiede solo il minimo sforzo per estrarre il valore completo da esso. Ad esempio, se vai alla console javascript dello sviluppatore (ad es., In chrome / linux, digita Ctrl-Shift-J) e digita (puoi saltare le righe di commento che iniziano con // ): 

var inputs = document.getElementsByTagName('input');
// find all <input> elements in the page

for ( var i = 0; i < inputs.length; i++) {  
// loop through all <input> elements

    if (inputs[i].getAttribute('type') === 'password') {  
    // find input elements with attribute type="password"

        console.log(inputs[i].value);
        // print the values of these password elements to the screen.
    }
}

Stampa sullo schermo qualunque testo sia digitato in qualunque campo password. (Questo codice equivale a jQuery $('input[type=password]').value , che funzionerà se la pagina web ha caricato jQuery).

Potresti semplicemente digitare la parola javascript: nella barra degli indirizzi e quindi incollare 

var inputs=document.getElementsByTagName('input'); for( var i=0; i < inputs.length; i++ ) { if (inputs[i].getAttribute('type') === 'password') alert(inputs[i].value) }

nella barra degli indirizzi e qualsiasi testo presente in qualsiasi campo della password verrà avvisato. (Nota la maggior parte dei browser rimuoverà la parte javascript: se tenti di incollare l'URL completo, quindi dovrai scriverlo. 

javascript:var inputs=document.getElementsByTagName('input'); for( var i=0; i < inputs.length; i++ ) { if (inputs[i].getAttribute('type') === 'password') alert(inputs[i].value) }
    
risposta data 16.10.2014 - 19:47
fonte
19

Sì, è un rischio per la sicurezza, ma sfruttarlo è molto improbabile.

Può essere sfruttato in questo modo:

  1. Qualcuno usa il tuo computer senza te intorno

  2. Abbastanza tempo per aprire IE

  3. Si connette a un sito Web con una password salvata

  4. Ottiene il profilo della tua password e va via

Se l'intruso ha tempo sufficiente per fare tutto quanto sopra, sarebbe molto più semplice e veloce scaricare un keylogger, installarlo, dare tutte le autorizzazioni sul firewall, far sì che l'antivirus lo ignori e andarsene.

Quindi, se stai pensando al profilo della password, hai a che fare con problemi più seri.

    
risposta data 16.10.2014 - 14:52
fonte
9

La password non viene visualizzata sullo schermo per evitare gli attacchi da spalla, ma è ancora noto al browser. Quando si utilizza un archivio password, fornisce la password effettiva a un'applicazione richiedente e non una sua versione hash o crittografata (che sarebbe molto intrattabile da usare).

Se qualcuno è abbastanza vicino a te da poter usare la tastiera per vedere se hai digitato o meno le parole, allora sono abbastanza vicine da trascinare le tue combinazioni di tasti e la sicurezza della tua password è già compromessa.

    
risposta data 16.10.2014 - 13:46
fonte
7

Rischio per la sicurezza? Stai perdendo dati, quindi sì è sicuramente un rischio per la sicurezza.

Ma il rischio è la possibilità che accada il momento dell'impatto. La possibilità è bassa perché non è ogni giorno che si digita una password e poi si esce prima di effettuare l'accesso. L'impatto è anche basso perché spesso è molto più semplice rivelare il valore del campo (specialmente nei browser) e anche se no, si Impareremo solo la posizione degli spazi bianchi. Questo lascia ancora molte opzioni quando si rompe la password.

Quindi importa? No, non proprio.

    
risposta data 16.10.2014 - 21:05
fonte
2

È sfortunato, naturalmente, ma quando l'intruso è già in grado di impersonare te (perché hai dimenticato di bloccare la tua workstation), in linea di principio sarà in grado di accedere alla memoria di IE e leggere direttamente la password. In pratica useresti uno strumento per questo. Una volta, come test, ho letto con successo la mia password utilizzando gli strumenti di sviluppo del browser. Non c'è bisogno di controllo + freccia e brute-forzare i pezzi.

Sarebbe male se questa vulnerabilità fosse presente nella schermata di accesso di Windows, perché renderebbe le password corrette in stile cavallo notevolmente meno sicure. Tuttavia, sul controllo dello schermo di accesso, la freccia salta all'inizio o alla fine della casella di testo.

    
risposta data 17.10.2014 - 08:28
fonte
0

In molti casi, un utente malintenzionato con accesso fisico al computer potrebbe anche accedere alle impostazioni del browser, visualizzare l'elenco delle password salvate e premere Mostra password e visualizzare tutte le password salvate proprio lì . Poiché anche per questo è richiesto l'accesso fisico al computer, la possibilità di visualizzare le password salvate è molto più pericolosa.

    
risposta data 19.10.2014 - 00:00
fonte
0

In ogni caso di vulnerabilità, aiuta il pensiero del contraddittorio. In quale scenario I può trovare utile questa vulnerabilità, se volessi accedere maliziosamente all'account di qualcuno?

Bene, come amministratore di sistema, ho accesso all'hash delle password di tutti, insieme a sale e pepe. Ma, dato che sono degli hash, non riesco ancora a decifrare una password che sia ben scelta. Non sono l'unico sysadmin, quindi non posso installare strumenti per lo snoop della password e garantire che non vengano rilevati.

Ma l'utente ha inserito la password e l'ha lasciata con degli asterischi lì. Se si sono allontanati dal computer, mentre si sono lasciati loggati, ci sono un certo numero di cose che posso fare per recuperare la password. Ma loro non l'hanno fatto. Hanno, invece, chiamato me per risolvere un problema che stanno avendo con il loro browser, tastiera, mouse, qualsiasi cosa.

Con il pretesto del test, posso fare clic intorno, fare clic sul loro nome utente, selezionare il testo sulla pagina, premere il tasto, il campo password è selezionato, ctrl e i cursori ... o posso accedere da me stesso, digitare il mio nome utente nel campo del nome, fai clic sulla fine del campo della password, sposta il cursore all'inizio in modo naturale ...

... una frazione di secondo, e ho stabilito che la loro password è del tipo "aaaa ?? aa", e il mio compito di crackare il loro hash è diventato molto più facile, perché ho solo bisogno di testare che spazio modello. Supponendo che possano usare qualsiasi carattere su una tastiera, il mio problema di spazio si è ridotto da 94 ^ 8 = 6 * 10 ^ 15 possibilità, a solo 62 ^ 4 * 62 ^ 2 * 32 ^ 2 = 5 * 10 ^ 13.

Che è già un miglioramento di cento volte, che consente una gamma molto più ampia di modelli di attacco; ma, cosa più importante, posso personalizzare il mio attacco per provare cose che probabilmente funzioneranno per prime: tutte e quattro le parole dei miei dizionari; quindi due caratteri speciali arbitrari, probabilmente una ripetizione, o un punto e uno spazio; quindi due caratteri, i numeri più probabili, specialmente se richiediamo numeri nella nostra politica di password.

Quindi sì - può essere fatto in faccia da una tecnologia di supporto, e non lascia alcuna traccia che un utente esperto o altri tecnici di supporto possano scoprire, come quelli lasciati dai keylogger o dai rootkit.

[Modifica: ho appena realizzato che c'è anche la possibilità che sia "???? xx ??" con quel modello - ma questo è solo 32 ^ 6 * 62 ^ 2 = 2 * 10 ^ 12, entro possibilità di forzatura bruta.]

[Modifica2: ho scelto xxxx..xx come esempio di dove sarebbe bello sapere, ma consideriamo il caso peggiore passaggio di 8 caratteri: xxxxxxxx. Ciò ha eliminato il profilo di attacco da 94 ^ 8 a 32 ^ 8 + 62 ^ 8 o 2 * 10 ^ 14, che è ancora una riduzione di 30 volte. Le password più lunghe offrono ovviamente migliori riduzioni, ma sono ancora più difficili da decifrare. Ma non solo, sarò in grado di togliere un intero carico di regole dal mio profilo di attacco, quindi se la password è in qualche modo non casuale, la colpirò molto prima.]

    
risposta data 30.01.2016 - 03:15
fonte

Leggi altre domande sui tag

Va bene che un amministratore di sistema conosce la password per un nuovo arrivato / agisce come utente (immediatamente dopo il suo reclutamento)? VPN + HTTPS = 100% anonimo?