But if this happens my password would be stored in some unencrypted
log somewhere, right along with my username.
Is this a reasonable concern?
Sì.
Am I being too paranoid?
Dipende .
Se la tua preoccupazione riguarda la memorizzazione della password, allora assolutamente non lo sei. La tua password sarà memorizzata in modo quasi sicuro. Essere consapevoli della realtà e delle pratiche attuali non è paranoia.
Per preoccuparsi del danno che la password trapelata può causare - da qui la modifica della password di richiesta - è un'altra questione. Lì, potresti essere un po 'paranoico ... ma poi di nuovo, no, a seconda della tua politica generale sulle password e del tipo di siti che visiti di solito e diffondi la tua password.
Ci sono due fattori attenuanti:
-
Il file di log quasi sarà sicuramente visualizzato da nessun altro se non dagli amministratori (se mai, se non del tutto). Probabilmente hanno già i mezzi di entrambi impersonare (ad esempio l'accesso come te, anche senza conoscere la tua password) e di rubare la tua password, anche se il sito dovrebbe per memorizzarlo in forma criptata. Inoltre, a meno che non si tratti di un sito gestito da aspiranti, gli amministratori sono in realtà con un guinzaglio piuttosto corto e non possono, ad es. basta sfogliare i registri per divertimento. Di solito ci sono filtri di primo livello che presentano una parte del log e il motivo dell'avviso; questo principalmente per ridurre il tempo speso nel controllare i registri. Il tuo singolo login fallito non dovrebbe nemmeno attivare un avviso di basso livello.
-
Sono abbastanza sicuro, data la tua coscienza di sicurezza, che la tua password supersecret non viene riutilizzata su più siti. Pertanto, anche se trapelasse, non sarebbe un gran danno.
Il principale pericolo derivante dalle password trapelate sullo stesso sito in cui sono utilizzate è che potrebbero fornire informazioni o accesso diretto a un altro sito a causa di riutilizzo della password . Un amministratore che è stato mantenuto onesto solo dalla consapevolezza che un accesso al suo sito sarebbe immediatamente rintracciato a lui, potrebbe sentirsi più frettoloso nei confronti di un sito di terze parti che non amministra e dove non è noto.
Pertanto, se fossi un amministratore, sapendo che la tua password sul mio sito è loneboat3
probabilmente mi farebbe provare loneboat
e loneboat0
a loneboat9
sul tuo sito bancario.
E nel tuo caso sospetto che questo pericolo sia trascurabile.
Detto questo, penso che cambiare una password non appena ritieni che sia stata compromessa è una buona abitudine di non avere importanza.