it-swarm.com.de

Sind teilweise eingegebene Passwörter ein potenzielles Sicherheitsrisiko?

Ich setzte mich einfach an meinen Arbeitscomputer und begann ihn durch Eingabe meines Passworts zu entsperren. Ich bekam 6 der 8 Zeichen und entschied, dass ich Kaffee wollte und ging weg, um ihn zu bekommen. Ich kam zurück, stellte fest, dass ich den größten Teil des Passworts hinterlassen hatte, tippte die verbleibenden zwei Zeichen ein und loggte mich ein. Besteht aus reiner Neugier ein Sicherheitsrisiko darin?

Meine Gedanken sind in den meisten Fällen, dass es nicht problematisch wäre, weil es einem Angreifer einen Versuch gibt, bevor es zurückgesetzt wird, und sie müssen von vorne beginnen. Ich nehme jedoch an, dass der Angreifer mindestens weiß, dass Ihr Passwort mindestens so viele Zeichen lang ist (vorausgesetzt, Sie haben es richtig eingegeben), dass er einen Vorteil für zukünftige Angriffe hat. Gibt es vielleicht eine Möglichkeit, den in das Anmeldefeld eingegebenen Text abzurufen oder den Status zu speichern, damit Sie von diesem teilweise abgeschlossenen Punkt aus erneut versuchen können? Was wäre, wenn dies ein Webseiten-Login im Gegensatz zu einer Desktop-App wäre?

44
DasBeasto

Unternehmensspionage ist eine Sache.

Es besteht könnte ein Sicherheitsrisiko, wenn jemand gesehen hat, dass Sie Ihr Passwort eingegeben haben, oder die letzten beiden Zeichen erraten hat. Es ist gar nicht so schwer, die Tastenanschläge der Leute zu bemerken und sich unbewusst an sie zu erinnern, insbesondere an die letzten Tasten.

Im Fall von Unternehmensspionage möchte jemand vielleicht zusehen, wie Sie Ihr Passwort eingeben, und er kann sich daran erinnern.

oder vielleicht den Status speichern, damit Sie von diesem teilweise abgeschlossenen Punkt aus erneut versuchen können?

Sie müssen zugeben, dass dies unter den gegebenen Umständen wie ein Alufolienhut der nächsten Stufe erscheint. Ich kann mir nur einen Mann in einem grauen Anzug vorstellen, der auf Ihren Desktop zugeht, nach Ihrer virtuellen Maschine mit mehr als 20 GB und den zugehörigen Konfigurationsdaten innerhalb weniger Minuten sucht und sie dann in eine heruntergekommene Kabine in der Ecke des Büros bringt wahnsinnig brutal, während manisch gackert:

Dr. Evil laughing while brute-forcing OP

Lassen Sie uns die Folie für eine Sekunde abnehmen. Wenn Sie eine virtuelle Maschine ausführen, ist dies durchaus möglich. Sie können den Status der virtuellen Maschine zu diesem Zeitpunkt speichern und es weiter versuchen. Die Wahrscheinlichkeit, dass Ihnen dies während einer Kaffeepause passiert, ist so gut wie Null. Gleiches gilt für den App-Status, nur nicht so unwahrscheinlich wie bei einer virtuellen Maschine.

Bei der virtuellen Maschine müsste ein Kollege den Inhalt Ihrer virtuellen Festplatte sowie die zugehörigen Einstellungen kopieren und bereitstellen. Höchstwahrscheinlich wären dies mehr als 20 GB. Das Kopieren dieses virtuellen Laufwerks in so kurzer Zeit, während andere Personen in der Nähe sind, scheint ziemlich unwahrscheinlich.

Jemand wird etwas bemerken.


Was wäre, wenn dies ein Webseiten-Login im Gegensatz zu einer Desktop-App wäre?

Lassen Sie uns unsere Alufolienhüte aufsetzen und sehen, was wir tun können, um das teilweise eingegebene Passwort mit nur leicht verfügbaren Tools abzurufen. Versetzen Sie sich in die Lage des Angreifers: Wie würden Sie schnell das Passwort erhalten bevor die Kaffeepause ist vorbei?

  1. Mit der Entwicklerkonsole können Sie die Webseite ändern, um dies zu ändern:

    <input type="password" name="pass" id="password"/>
    

    Dazu:

    <input type="text" name="pass" id="password"/>
    

    (JQuery wurde entfernt, wie von Doyle Lewis vorgeschlagen.)

  2. Wir können die Werte auch über die Konsoleneingabe abrufen: Sie können eine Variation davon verwenden ( F12 > Console > Eingabe eingeben ):

    • console.log($("#password").val()); (jQuery)
    • console.log(this.pass.val);
    • console.log(document.getElementById("password").value); (dom)
  3. Anscheinend Windows 8 und Windows 10 Enterprise haben ein "Auge" -Symbol, mit dem Sie das Klartext-Passwort anzeigen können, wenn Sie die Augen-Taste gedrückt halten . Dies wird zu einer noch größeren Bedrohung, wenn jemand anderes nur auf diese eine Schaltfläche klicken kann, wobei alle in den obigen Beispielen verwendeten Anstrengungen umgangen werden.


Aber warum sollte dies ein potenzielles Sicherheitsrisiko sein?

Umrüstung unserer [Tinfoil Hat (Mythic Warforged)]Nehmen wir ein Worst-Case-Szenario an:

Mit Ihrem Benutzernamen und Passwort kann ein böswilliger Kollege in einer Unternehmensumgebung, in der es definitiv nicht schwierig ist, Ihren Benutzernamen zu finden (normalerweise Ihre Ausweis-ID oder Ihren E-Mail-Benutzernamen), versuchen, sich im Netzwerk auszugeben. Zum Beispiel:

  1. Ihr Unternehmen verfügt über WLAN-Zugang, für dessen Anmeldung die Ausweisnummer und das Passwort Ihres Mitarbeiters erforderlich sind.
  2. Böswilliger Kollege meldet sich auf einem nicht autorisierten Gerät im Unternehmensnetzwerk nter Verwendung Ihrer Anmeldeinformationen an und verursacht dann Chaos/stiehlt Dinge, ohne dass dies zu ihnen zurückführt. Die meisten Sicherheitsrichtlinien sollten zuerst eine Geräteregistrierung erfordern, aber es gibt leider Möglichkeiten, dies zu umgehen.
  3. Du wirst beschuldigt. Es sieht so aus, als hättest du es getan. Und der Spion, der die Dinge vermasselt hat, kann ungeschoren davonkommen .

Wie schütze ich mich davor?

Dieser sehr unwahrscheinliche, aber mögliche Angriff und viele andere Angriffe, die physischen Zugriff auf Ihren Computer erfordern (ohne hardwarebasierte Infektionen), werden vollständig abgeschwächt, indem Sie Ihre Workstation vor dem Aufstehen sperren und keine Teilkennwörter eingeben. Machen Sie es sich zur Gewohnheit und Sie müssen sich keine Sorgen machen, dass jemand so etwas tut.

Sei aber nicht selbstgefällig.

44
Mark Buffalo

Zusätzlich zu den anderen Antworten habe ich während Ihrer Abwesenheit einen Keylogger auf Ihrer Tastatur installiert.

Kurzfristig habe ich die letzten 2 Zeichen Ihres Passworts. Ich könnte das nutzen, um den Suchraum für einen Brute-Force-Angriff erheblich zu reduzieren.

Aber ich bin faul und ein langfristiger Denker. Ich werde nur warten, bis Sie sich wieder anmelden und ich werde Ihr vollständiges Passwort haben.

14
emory

Wie in den Kommentaren erwähnt, verfügen einige Windows-Versionen über ein "Augen" -Symbol, auf das geklickt werden kann, um anzuzeigen, was Sie in das Kennwortfeld eingegeben haben.

Wenn Sie sechs Ihrer Zeichen im Kennwortfeld des Sperrbildschirms belassen, ist nur ein Klick auf das Auge erforderlich, um den Klartext anzuzeigen. Dies bedeutet nicht, dass der Angreifer weiß, wie lang Ihr Kennwort ist, bedeutet jedoch, dass die Sicherheit Ihres Kennworts beeinträchtigt wird, da die ersten sechs Zeichen verfügbar sind.

Ich kann bestätigen, dass Windows 10 Enterprise tatsächlich dieses Auge hat.

7
Booga Roo

Anwendungen speichern intern die Kennwortbits, die Sie bereits eingegeben haben. Einige von ihnen tun dies möglicherweise so, dass ein Angreifer sie abrufen kann. Zum Beispiel haben wir in einer vorherigen Frage besprochen, wie in Internet Explorer eingegebene Passwörter von einem Benutzer in die IE Konsole) gedruckt werden können.

Außerdem besteht die Gefahr, dass jemand die fehlenden Zeichen errät (wie von @MarkBuffalo hervorgehoben), da viele Passwörter mit speziellen Symbolen oder Zahlen enden (ganz speziell, viele Passwörter enden mit "1"). Wenn Sie zuvor beobachtet wurden oder ein Angreifer bereits über ein Kennwort von Ihnen informiert ist, kann er Ihr teilweise eingegebenes Kennwort möglicherweise erfolgreich vervollständigen.

3

Möglicherweise ja. Dies gilt umso mehr, wenn die Leute Sie zuvor beim Tippen beobachtet haben und daher gesehen haben, wo Ihre Finger die Tastatur verlassen.

Bei einem Webformular müssen Sie grundsätzlich davon ausgehen, dass jeder, der die Webseite ändern kann, Ihr Kennwort sehen kann - entweder indem Sie das Kennwortfeld in einen Texttyp ändern, indem Sie überwachen, welche Zeichen gedrückt werden (tatsächlich JS-Keylogger), oder Bei älteren Browsern müssen Sie lediglich die Eigenschaften des Kennwortfelds im integrierten Inspektor überprüfen (die meisten modernen Browser scheinen die Anzeige von Inhalten, die in Kennwortfelder eingegeben wurden, aus Sicherheitsgründen einzuschränken, obwohl sie immer noch anzeigen, was im Feld gesendet wird Wertattribut, da jeder, der sich die Seitenquelle ansieht, dies sehen kann.

Außerdem wird Ihr Benutzername bestätigt. Es ist unwahrscheinlich, dass Sie den größten Teil Ihres Kennworts im falschen Benutzernamenbildschirm für einen freigegebenen Computer eingeben. Abhängig von Ihrem Setup können dies vertrauliche Informationen sein.

2
Matthew

Dies hängt mit ziemlicher Sicherheit davon ab, bei was Sie sich angemeldet haben. Wenn es sich beispielsweise um ein Webformular handelt, ist es einfach, Javascript in die Entwicklerkonsole zu schreiben, um den aktuellen Wert des Kennwortfelds abzurufen, ohne Verdacht zu erregen.

Vergleichen Sie dies damit, dass Sie es in Ihren Windows-Anmeldebildschirm eingegeben haben, auf dem es keine leicht zugängliche Konsole gibt, auf der Sie Befehle eingeben können, um den Wert zu extrahieren. Das schlimmste Szenario, wenn niemand gesehen hat, dass Sie den ersten Teil Ihres Passworts eingegeben haben, ist, dass jemand sieht, dass Sie die letzten beiden Zeichen unabhängig voneinander eingeben (wahrscheinlich weniger wahrscheinlich, dass sie flüssig eingegeben werden und leichter zu erkennen sind) oder das Passwort versucht, wenn Sie wissen, dass es nur zwei gibt Zeichen, die noch übrig sind (Länge ist die am einfachsten zu ermittelnde Qualität eines Passworts), und wenn sie fehlschlagen, besteht für sie auch ein geringes Risiko.

1
sethmlarson

Technisch gesehen haben Sie sich und Ihre Kollegen und Arbeitgeber einem Angriffsrisiko ausgesetzt. Die 6 Ziffern allein reichen bereits aus, um sich einen Überblick über das verwendete Format zu verschaffen (wenn das Unternehmen ein Kennwortformat benötigt). Ein Unternehmensspion könnte auch die 6 von 8 anzeigen und nur einen Bruteforce-Angriff einrichten, um nur die letzten 2 zu knacken. Wenn ein potenzieller Angriff jedoch die Kennwortlänge nicht kennt, dauert das Knacken länger, da es sich um so viele Kombinationen handelt.

1
CorruptedOffset