Le password parzialmente digitate rappresentano un potenziale rischio per la sicurezza?

Naviga le tue risposte
43

Mi sono seduto al mio computer di lavoro e ho iniziato a sbloccarlo digitando la mia password, ho inserito 6 degli 8 caratteri e ho deciso che volevo un caffè e sono andato via per prenderlo. Sono tornato, ho capito che avevo lasciato la maggior parte della password, ho digitato i rimanenti due caratteri e ho effettuato l'accesso. Per pura curiosità, c'è un rischio per la sicurezza in questo?

I miei pensieri sono nella maggior parte dei casi non sarebbero problematici perché danno a un utente malintenzionato un tentativo prima che venga resettato e devono ripartire da zero. Tuttavia, suppongo che almeno permetta all'utente malintenzionato di sapere che la tua password è lunga almeno quel numero di caratteri (supponendo che tu abbia digitato correttamente) dando loro un vantaggio per gli attacchi futuri. C'è forse un modo per afferrare il testo digitato nella casella di login, o magari salvare lo stato in modo da poter riprovare da quel punto parzialmente completato? Cosa accadrebbe se si trattasse di un accesso a una pagina web anziché di un'app desktop?

    
posta DasBeasto 28.01.2016 - 15:28
fonte

7 risposte

43

Lo spionaggio aziendale è una cosa.

potrebbe essere un rischio per la sicurezza se qualcuno ti ha visto digitare la tua password o indovinare gli ultimi due caratteri. Non è poi così difficile notare i tasti delle persone e inconsciamente ricordarli, specialmente le ultime chiavi.

Nel caso di spionaggio aziendale, qualcuno potrebbe voler guardarti digitare la tua password e potrebbero ricordarla.

or maybe save the state so you can keep retrying from that partially completed point?

Devi ammettere che, date le circostanze, questo sembra un ordigno di carta stagnola di livello successivo. Posso solo immaginare un tizio vestito di grigio che sale sul desktop, cercando il disco da 20+ GB della macchina virtuale, oltre ai dati di configurazione che accompagnano in un paio di minuti, e portandolo in uno squallido cubicolo nell'angolo dell'ufficio, quindi follemente bruto-forzante mentre schiamazza maniacalmente:

Togliamolapellicolaperunsecondo.Sestaiusandounamacchinavirtuale,alloraèdeltuttopossibile.Potrestisalvarelostatodellamacchinavirtualeinquelpuntoecontinuareaprovare.Laprobabilitàcheciòaccadaduranteunapausacaffèèpraticamentenulla.Lostessoconlostatodell'app,solononcosìimprobabilecomeunamacchinavirtuale.

Conlamacchinavirtuale,uncollegadovrebbecopiareilcontenutodeltuodiscorigidovirtuale,oltrealleimpostazionidiaccompagnamento,emontarlo.Piùcheprobabile,questosarebbesuperiorea20GB.Copiarequestodiscovirtualeincosìpocotempomentrealtrepersonesonoingirosembraabbastanzaimprobabile.

Qualcunonoteràqualcosa.

CosaaccadrebbesesitrattassediunaccessoaunapaginaWebanzichédiun'appdesktop?

Mettiamoinostricappellidicartastagnolaevediamocosapossiamofareperrecuperarelapasswordparzialmentedigitatausandosolostrumentiprontamentedisponibili.Mettitineipannidell'aggressore:comefarestirapidamenteaottenerelaprimadellapausacaffè?

  1. Usandolaconsolepersviluppatori,puoimodificarelapaginawebpercambiarla:

    <inputtype="password" name="pass" id="password"/>

    A questo: 

    <input type="text" name="pass" id="password"/>

    (Rimosso jQuery come suggerito da Doyle Lewis )

  2. Possiamo anche ottenere i valori attraverso l'input della console: puoi utilizzare una variazione di questi ( F12 > Console > Inserisci input ):

    • console.log($("#password").val()); (jQuery)
    • console.log(this.pass.val);
    • console.log(document.getElementById("password").value); (dom)

  3. Apparentemente Windows 8 e Windows 10 Enterprise hanno un'icona "occhio" che ti consente di rivelare la password in testo semplice tenendo premuto il pulsante dell'occhio . Questo diventa una minaccia ancora più grande quando qualcun altro può semplicemente fare clic su quel pulsante, ignorando tutto lo sforzo usato negli esempi sopra.

Ma perché questo potrebbe essere un potenziale rischio per la sicurezza?

Riaffilando il nostro [Tinfoil Hat (Mythic Warforged)] , supponiamo uno scenario nel peggiore dei casi:

Con il tuo nome utente e password, in un'impostazione aziendale in cui non è difficile trovare il tuo nome utente (in genere l'ID badge o il nome utente e-mail), un collega malintenzionato può tentare di impersonare te sulla rete. Ad esempio:

  1. La tua azienda ha l'accesso WiFi che richiede il numero di badge del dipendente e la password per accedere.
  2. Colleghi maliziosi si collegano alla rete aziendale utilizzando le tue credenziali , su un dispositivo non autorizzato, e poi provocano il caos / rubano le cose senza che ciò ritorni a loro. La maggior parte delle politiche di sicurezza dovrebbe prima richiedere la registrazione del dispositivo, ma purtroppo ci sono dei modi per aggirare questo problema.
  3. Si viene incolpati. Sembra che tu l'abbia fatto. E la spia che ha rovinato tutto può liberarsi di scott .

Come posso proteggermi da questo?

Questo attacco molto improbabile, ma possibile, e molti altri attacchi che richiedono l'accesso fisico alla tua macchina (escluse le infezioni basate sull'hardware), è completamente mitigato bloccando la tua workstation prima di alzarti e non inserendo password parziali. Fai di questa tua abitudine e non dovrai preoccuparti di nessuno che faccia qualcosa del genere.

Non essere soddisfatto, però.

    
risposta data 28.01.2016 - 15:41
fonte
14

Oltre alle altre risposte, mentre eri via ho installato un keylogger sulla tastiera.

A breve termine, ho gli ultimi 2 caratteri della tua password. Potrei usarlo per ridurre considerevolmente lo spazio di ricerca per un attacco di forza bruta.

Ma sono un pensatore pigro e a lungo termine. Aspetterò solo il login e avrò la tua password completa.

    
risposta data 28.01.2016 - 17:25
fonte
7

Come notato nei commenti, alcune versioni di Windows hanno un simbolo "occhio" che può essere cliccato per mostrare ciò che hai digitato nella casella della password.

Se lasci sei dei tuoi personaggi nella casella della password della schermata di blocco, basta un solo clic per esporre il testo in chiaro. Questo non significa che l'hacker saprebbe quanto è lunga la tua password, ma significa che indebolirebbe la sicurezza della tua password perché i primi sei caratteri sono esposti.

Posso confermare, Windows 10 Enterprise ha davvero questo occhio.

    
risposta data 29.01.2016 - 00:12
fonte
3

Le applicazioni memorizzeranno internamente i bit della password che hai già digitato. Alcuni di loro potrebbero farlo in modi che consentono a un utente malintenzionato di recuperarli. Ad esempio, abbiamo discusso in una domanda precedente come le password digitate in Internet Explorer potevano essere stampate nella console IE da un utente.

Oltre a questo, c'è il rischio che qualcuno indovini i personaggi mancanti (come sottolineato da @MarkBuffalo) poiché molte password tendono a terminare con simboli o numeri speciali (in particolare, molte password terminano con "1"). Se sei stato osservato prima o se un utente malintenzionato ha una conoscenza pregressa di una tua password, potrebbe riuscire a completare la tua password parzialmente digitata.

    
risposta data 28.01.2016 - 15:47
fonte
2

Potenzialmente, sì. A maggior ragione se le persone ti hanno visto digitarlo in precedenza e quindi vedere dove le dita lasciano la tastiera.

Per un modulo web, in pratica devi presupporre che chiunque possa modificare la pagina web possa vedere la tua password - cambiando il campo della password in un tipo di testo, controllando quali caratteri sono stati premuti (keylogger JS, in effetti) , o, per i browser più vecchi, semplicemente guardando le proprietà del campo password nell'ispettore incorporato (la maggior parte dei browser moderni sembra limitare la visualizzazione del contenuto digitato nei campi della password, come una cosa di sicurezza, anche se rivelerà comunque tutto ciò che è inviato nell'attributo value, dal momento che chiunque guarda l'origine della pagina può vederlo.

Conferma anche il tuo nome utente - è improbabile che ti preoccupi di digitare nella maggior parte della tua password nella schermata del nome utente errata per un computer condiviso. A seconda della configurazione, potrebbero essere informazioni sensibili.

    
risposta data 28.01.2016 - 15:49
fonte
1

Questo dipende quasi sicuramente da cosa stavi effettuando il login. Ad esempio, se si trattasse di un modulo Web, sarebbe facile scrivere alcuni Javascript nella console degli sviluppatori per ottenere il valore corrente del campo della password senza destare sospetti.

Confrontalo con se lo stavi digitando nella schermata di accesso di Windows in cui non esiste una console facilmente accessibile per digitare comandi per estrarre il valore. La peggiore delle ipotesi se nessuno ti ha visto digitare la prima parte della tua password è che qualcuno ti vede digitare gli ultimi due caratteri in modo indipendente (probabilmente meno probabilità di essere digitato in modo fluido e più facile da discernere) o provare la password sapendo che ci sono solo due caratteri a sinistra (la lunghezza è la qualità più semplice di una password da ottenere) come ipotesi e se falliscono c'è anche un piccolo rischio per loro.

    
risposta data 28.01.2016 - 15:45
fonte
1

Tecnicamente hai messo a rischio te e i tuoi colleghi dipendenti e datori di lavoro per un attacco. Le 6 cifre del solo sono già sufficienti per alcuni per avere un'idea generale del formato utilizzato (se l'azienda richiede un formato password). Anche una spia aziendale potrebbe visualizzare il 6 di 8 e impostare un attacco bruteforce per craccare solo l'ultimo 2. Tuttavia, nel caso in cui un potenziale attacco non conosca la lunghezza della password ci vorrà più tempo a craccare visto che sono così tante combinazioni.

    
risposta data 28.01.2016 - 17:39
fonte

Leggi altre domande sui tag

Sale "reale" e "finto" Come fanno gli hacker a trovare l'indirizzo IP dei dispositivi?