Direi "non molto" poiché le password errate non vengono quasi mai memorizzate: a meno che tu non abbia fallito per ottenere il login, la password che era destra è di solito molto un po 'di informazioni più utili da prendere.
Si raccomanda di non salvare le password errate nei log ecc., poiché potrebbero rivelare la vera password - anche se hai inserito SqueamishOsprey , un umano potrebbe indovinare la vera password, e con cose come THX138 , un computer potrebbe fare tutto da solo eseguendo una classificazione Levenshtein su un dizionario delle password.
Di solito una password errata è:
- la password corretta, scritta erroneamente (la maggior parte dei casi nella mia esperienza)
- una password che era giusta, ma ora è scaduta.
- una vecchia password che non è più rilevante e mai nemmeno
Il tuo caso,
- una password corrente per un altro servizio
è, credo, ancora più basso di probabilità. Chiunque tentasse di catturare le password farebbe sì dopo che sia stato convalidato, o si sforzerebbe di ottenere informazioni sulla loro validità su quel sistema, per ridurre l'onere di trattare con spurie Le password. In tal modo, scarteranno i tuoi.
I tuoi scenari di rischio sono quindi, penso:
- la password errata viene registrata in chiaro e l'autore dell'attacco riesce a recuperare il testo in chiaro ma non o non può rendersi conto che la password corretta in quel sistema è altro .
- la password errata viene catturata (insieme a quella giusta) e inviata per lo sfruttamento, anche se tale sfruttamento sarebbe molto più potente e / o rapido se eliminasse le password sbagliate in primo luogo (questo potrebbe accadere, per esempio, se un sito Web sfruttato è stato accoppiato con una rete di sfruttamento distribuito, la rapidità nello sfruttamento avrebbe superato la necessità di precisione).
- l'intercettazione della password è fatta in modo tale che l'attaccante non abbia modo di dire se è buono o sbagliato. Deve provarli tutti. In qualche modo la stessa intercettazione fornisce anche dettagli sufficienti sulla tua identità per consentire la selezione di altri servizi validi per l'accesso.
- l'attacco è diretto a te (o a tutti gli utenti di un piccolo sistema) - in tal caso, qualsiasi farà la password, e nessuno verrà scartato. Non c'è bisogno di rapidità poiché il pool di vittime è estremamente piccolo.
Personalmente, ritengo che tutto lo scenario sopra sia piuttosto improbabile. Naturalmente la tua valutazione potrebbe essere diversa - a seconda di chi sei, qual è il tuo valore netto, dove lavori, e così via e così via - tutte le cose che non chiederò, nella remota possibilità che tu debba poi uccidere io: -)