Dovrei essere preoccupato se ho accidentalmente inserito la mia password in un campo username?

30

Occasionalmente non riuscirò a premere Tab correttamente quando inserisco una combinazione nome utente / password. Ciò comporta che invii il nome utente "myUsername $ ecretPa $$ word" insieme a una password vuota. Cerco sempre di cambiare la password poco dopo averlo fatto, temendo che sia del tutto possibile che qualcuno che gestisce il sito stia registrando i tentativi di accesso falliti. Sembra ragionevole che qualcuno (anche un amministratore attento alla sicurezza) prenda in considerazione il tentativo di registrazione dei nomi utente sia utile che sicuro. Ma se ciò accade la mia password verrebbe memorizzata in qualche registro non criptato da qualche parte, proprio insieme al mio nome utente.

Questa è una preoccupazione ragionevole? Sono troppo paranoico?

    
posta loneboat 25.09.2015 - 23:47
fonte

4 risposte

31

La risposta breve è che è molto, molto probabile che il nome utente e la password concatenati esistano su un registro non crittografato da qualche parte a cui un gruppo più ampio di persone avrebbe probabilmente accesso ai registri riservati.

Non sei paranoico a cambiare la tua password e dovresti cambiarla quando succede.

    
risposta data 26.09.2015 - 01:32
fonte
15

But if this happens my password would be stored in some unencrypted log somewhere, right along with my username.

Is this a reasonable concern?

Sì.

Am I being too paranoid?

Dipende .

Se la tua preoccupazione riguarda la memorizzazione della password, allora assolutamente non lo sei. La tua password sarà memorizzata in modo quasi sicuro. Essere consapevoli della realtà e delle pratiche attuali non è paranoia.

Per preoccuparsi del danno che la password trapelata può causare - da qui la modifica della password di richiesta - è un'altra questione. Lì, potresti essere un po 'paranoico ... ma poi di nuovo, no, a seconda della tua politica generale sulle password e del tipo di siti che visiti di solito e diffondi la tua password.

Ci sono due fattori attenuanti:

  1. Il file di log quasi sarà sicuramente visualizzato da nessun altro se non dagli amministratori (se mai, se non del tutto). Probabilmente hanno già i mezzi di entrambi impersonare (ad esempio l'accesso come te, anche senza conoscere la tua password) e di rubare la tua password, anche se il sito dovrebbe per memorizzarlo in forma criptata. Inoltre, a meno che non si tratti di un sito gestito da aspiranti, gli amministratori sono in realtà con un guinzaglio piuttosto corto e non possono, ad es. basta sfogliare i registri per divertimento. Di solito ci sono filtri di primo livello che presentano una parte del log e il motivo dell'avviso; questo principalmente per ridurre il tempo speso nel controllare i registri. Il tuo singolo login fallito non dovrebbe nemmeno attivare un avviso di basso livello.

  2. Sono abbastanza sicuro, data la tua coscienza di sicurezza, che la tua password supersecret non viene riutilizzata su più siti. Pertanto, anche se trapelasse, non sarebbe un gran danno.

Il principale pericolo derivante dalle password trapelate sullo stesso sito in cui sono utilizzate è che potrebbero fornire informazioni o accesso diretto a un altro sito a causa di riutilizzo della password . Un amministratore che è stato mantenuto onesto solo dalla consapevolezza che un accesso al suo sito sarebbe immediatamente rintracciato a lui, potrebbe sentirsi più frettoloso nei confronti di un sito di terze parti che non amministra e dove non è noto.

Pertanto, se fossi un amministratore, sapendo che la tua password sul mio sito è loneboat3 probabilmente mi farebbe provare loneboat e loneboat0 a loneboat9 sul tuo sito bancario.

E nel tuo caso sospetto che questo pericolo sia trascurabile.

Detto questo, penso che cambiare una password non appena ritieni che sia stata compromessa è una buona abitudine di non avere importanza.

    
risposta data 26.09.2015 - 01:48
fonte
-2

Come le precedenti due risposte hanno detto, non sei in pericolo dal sito stesso dato che il sito ha già la tua password dal campo della password, dopotutto deve verificare chi sei.

Per menzionare la password nel log in testo normale, ci sono innumerevoli righe in quel potenziale registro e un potenziale aggressore del server deve cercare attraverso quel registro per trovare la password potenziale e anche sapere che è una password , quindi in qualche modo l'autore dell'attacco deve corrispondere alla password di un nome utente e se riesce a tutto ciò che l'utente malintenzionato avrebbe UNO info di accesso. Se fossi quell'attaccante, passerei il mio tempo e il mio sforzo sul db stesso dal momento che non ho attaccato il server web per rubare alcuni file di registro.

Potresti essere in pericolo di rivelare la tua password se qualcuno sta monitorando il tuo schermo, ma in questo caso il problema è molto più grande di questa password poiché l'intero PC è comunque compromesso dallo spyware che monitora lo schermo.

Inoltre, ci sono aziende in cui i computer sono monitorati e se un lavoratore in uno di questi PC lo fa, l'amministratore di sistema potrebbe vedere la password. Ma come puoi vedere, tanti "se" sono qui.

    
risposta data 26.09.2015 - 00:55
fonte
-3

No. Se si tratta di un sito sensibile (finanziario, autorizzazione di sicurezza, ecc.) Modificare la password, ma in pratica non vi è alcuna possibilità che la propria password sia stata rilevata da chiunque sia malintenzionato. La maggior parte dei moduli non invia dati fino a quando non vengono inviati e, se è stata presentata, molto probabilmente c'è un registro tenuto su un server in un posto che lo vedrebbe come un tentativo di accesso non valido per un account che non esiste. Affinché sia un rischio per la sicurezza, i registri dovrebbero esistere (non una garanzia) che un hacker avrebbe bisogno di accedere al server su quei log prima che la manutenzione li pulisca, e quindi esaminare il gran numero di tentativi di accesso falliti e rendersi conto che la tua era la tua password, e quindi avrebbe dovuto sapere qual è il tuo nome utente. Questo è estremamente improbabile, soprattutto se si è un target di basso valore. Paris Hilton avrà sempre più di cui preoccuparsi di John Smith.

    
risposta data 26.09.2015 - 00:22
fonte

Leggi altre domande sui tag