Devo fare attenzione quando inserisco password non corrette in siti Web non affidabili?

2

Ho il problema che di solito uso 4 password che uso abbastanza spesso. Io uso le prime due password complesse per servizi molto importanti (ad esempio e-mail, PayPal, ..), e gli altri due non così forti per servizi non così importanti. Il problema arriva quando dimentico la password di qualcosa che non ricordo quanto fosse importante per me.

Se ho inserito tutte le mie quattro password (dal più debole al più strong) in quel sito Web, e ancora non ho avuto accesso, quanto dovrei essere preoccupato che un sito Web memorizzi tutti i miei tentativi falliti e utilizzi quelle password contro di me in qualche modo? Questa è una seria preoccupazione per la sicurezza per me?

    
posta M.C. 06.07.2013 - 14:46
fonte

3 risposte

7

I have the problem that I usually use 4 passwords that I use quite often.

Tutto il tuo altro problema deriva da questo. Se sei preoccupato per la sicurezza (e dovresti esserlo), allora fermalo .

Is this a serious security concern for me?

Sicuramente SÌ.

Se questo particolare sito rivela le tue informazioni o se uno dei tuoi siti "importanti" viene violato, questa tua tecnica può seriamente morderti. Gli hacker si aspettano di riutilizzare le password su altri siti, quindi cercheranno sicuramente questo comportamento e cercheranno sicuramente di sfruttarlo. Anche il tuo piano di avere una password per siti "importanti" e uno per siti "non importanti" è comune, quindi anche gli hacker si aspettano questo.

Devi utilizzare password diverse e uniche per tutti i siti che ti interessano. Una password utilizzata su paypal e da nessun'altra parte, una per ogni account e-mail e da nessun'altra parte, ecc.

Consiglio vivamente di utilizzare uno strumento come KeePass o LastPass. Entrambi si basano sulla crittografia lato client, quindi nessun segreto è mai visibile a terzi.

    
risposta data 06.07.2013 - 19:11
fonte
2

Direi "non molto" poiché le password errate non vengono quasi mai memorizzate: a meno che tu non abbia fallito per ottenere il login, la password che era destra è di solito molto un po 'di informazioni più utili da prendere.

Si raccomanda di non salvare le password errate nei log ecc., poiché potrebbero rivelare la vera password - anche se hai inserito SqueamishOsprey , un umano potrebbe indovinare la vera password, e con cose come THX138 , un computer potrebbe fare tutto da solo eseguendo una classificazione Levenshtein su un dizionario delle password.

Di solito una password errata è:

  • la password corretta, scritta erroneamente (la maggior parte dei casi nella mia esperienza)
  • una password che era giusta, ma ora è scaduta.
  • una vecchia password che non è più rilevante e mai nemmeno

Il tuo caso,

  • una password corrente per un altro servizio

è, credo, ancora più basso di probabilità. Chiunque tentasse di catturare le password farebbe sì dopo che sia stato convalidato, o si sforzerebbe di ottenere informazioni sulla loro validità su quel sistema, per ridurre l'onere di trattare con spurie Le password. In tal modo, scarteranno i tuoi.

I tuoi scenari di rischio sono quindi, penso:

  • la password errata viene registrata in chiaro e l'autore dell'attacco riesce a recuperare il testo in chiaro ma non o non può rendersi conto che la password corretta in quel sistema è altro .
  • la password errata viene catturata (insieme a quella giusta) e inviata per lo sfruttamento, anche se tale sfruttamento sarebbe molto più potente e / o rapido se eliminasse le password sbagliate in primo luogo (questo potrebbe accadere, per esempio, se un sito Web sfruttato è stato accoppiato con una rete di sfruttamento distribuito, la rapidità nello sfruttamento avrebbe superato la necessità di precisione).
  • l'intercettazione della password è fatta in modo tale che l'attaccante non abbia modo di dire se è buono o sbagliato. Deve provarli tutti. In qualche modo la stessa intercettazione fornisce anche dettagli sufficienti sulla tua identità per consentire la selezione di altri servizi validi per l'accesso.
  • l'attacco è diretto a te (o a tutti gli utenti di un piccolo sistema) - in tal caso, qualsiasi farà la password, e nessuno verrà scartato. Non c'è bisogno di rapidità poiché il pool di vittime è estremamente piccolo.

Personalmente, ritengo che tutto lo scenario sopra sia piuttosto improbabile. Naturalmente la tua valutazione potrebbe essere diversa - a seconda di chi sei, qual è il tuo valore netto, dove lavori, e così via e così via - tutte le cose che non chiederò, nella remota possibilità che tu debba poi uccidere io: -)

    
risposta data 06.07.2013 - 15:56
fonte
2

Se esiste un modo per collegare l'account del sito Web (Sito A) non affidabile all'account del sito Web attendibile (Sito B) e si sta inserendo la password del sito B nel modulo di accesso al sito A, si sta potenzialmente compromettendo il sito B account. Questo potrebbe essere per una delle tante ragioni, ma qui ci sono le più comuni:

  • Rogue Site Operatori che registrano intenzionalmente tutti gli input della password.
  • Sito incompetente A che accede inavvertitamente alle password.
  • Il sito A non utilizza HTTPS. (molto probabilmente)

Ho account casuali su quasi 50 forum e solo uno o due usano HTTPS per i loro moduli di accesso. Se qualcuno è fuori per ottenere il tuo account PayPal / email, sarà MiTM e ti annuserà ogni volta possono raccogliere quante più informazioni possibile. La password del sito B è da qualche parte inviata in testo semplice. Not A Good Thing TIM

Sbarazzati di tutto questo mal di testa usando un gestore di password come KeePass .

    
risposta data 06.07.2013 - 16:26
fonte

Leggi altre domande sui tag