it-swarm.com.de

Wenn ich ein Passwort auf der falschen Seite eingebe, sollte ich es als kompromittiert betrachten?

Ich habe vor kurzem begonnen, einen Passwort-Manager und gute Passwortpraktiken zu verwenden. Ich habe für jede Site, die ich verwende, ein anderes Passwort.

Wenn ich beim Anmelden auf einer Webseite versehentlich das Kennwort einer anderen Website verwende, sollte ich das Kennwort als gefährdet betrachten und ändern?

Z.B.

  • Wenn mein Passwort für www.example.com passwordOne war
  • Und mein Passwort für www.ejemplo.com war contraseñaUno
  • Und ich versuche versehentlich, mich mit dem Passwort contraseñaUno bei www.example.com anzumelden

Muss ich das Passwort für www.ejemplo.com aktualisieren?

Ich kann eine ähnliche, aber andere Frage sehen hier , aber das bezieht sich auf das Passwort, das in das Feld Benutzername eingegeben wird.

76
JonnyWizz

Nur um den Teufelsanwalt zu spielen ...

Es ist genauso wahrscheinlich, dass Sie kompromittiert werden, als würden Sie auf beiden Websites dasselbe Passwort verwenden *.

Wie die meisten Leute gezeigt haben, müssen Sie sich wahrscheinlich keine Sorgen machen. Nicht so sehr, weil eine Website nicht zwischen einem guten und einem falschen Passwort unterscheiden kann, sondern weil die meisten Websites, die Sie besuchen, Ihr Passwort wahrscheinlich nicht protokollieren. Der Grund ist einfach, dass es ihnen keinen Wert bietet. Die meisten Websites sind dazu da, legitime Geschäfte zu tätigen, und sehen daher keinen Wert darin, böswillig zu sein, indem sie jedes eingegebene Passwort aufzeichnen.

Wenn ich jedoch böse Absichten hätte und viele mögliche Passwörter sammeln wollte, wäre es wahrscheinlich eine bessere Alternative, einen Dienst online zu hosten, um Passwörter zu sammeln, als zu versuchen, alle möglichen Kombinationen brutal zu erzwingen. Das Abfangen aller Passwörter, auch von schlechten, ist keine schlechte Idee, wenn Sie diese Art von "Service" hosten. Benutzer mit mehreren Kennwörtern geben sehr wahrscheinlich die falschen Kennwörter auf der falschen Site ein. Daher ist es ein guter Angriffsplan, sowohl schlechte als auch gute Versuche zu protokollieren.

Betrachten Sie beispielsweise dieses Zitat aus https://howsecureismypassword.net/

Diese Seite könnte Ihr Passwort stehlen ... es ist nicht, aber es könnte leicht sein.
Achten Sie darauf, wo Sie Ihr Passwort eingeben.

Es hat die Dinge relativiert. Ist solch ein böser "Dienst" auch so unwahrscheinlich? Es ist schwer zu sagen, aber sicher nichts Neues: https://xkcd.com/792/

Hinweis * : Nun, ich habe "so wahrscheinlich" gesagt, aber es ist nicht genau wahr. Wenn Sie auf vielen Websites dasselbe Kennwort verwenden, sind Sie nicht nur anfällig für schädliche Websites, sondern auch für die Inkompetenz der Websitebesitzer. Viele Websites speichern Ihr Passwort immer noch im Klartext in ihrer Datenbank oder verwenden schwaches Hashing. Wenn ein Angreifer seine Datenbank stehlen kann, ist Ihr Passwort gefährdet.

49
Gudradain

Es geht Ihnen wahrscheinlich gut - es gibt keinen besonderen Unterschied zwischen einem falschen Passwort für die richtige Site und einem richtigen Passwort für die falsche Site. Selbst wenn dies der Fall wäre, würde die Site, die das falsche Passwort erhalten hat, nicht wissen, auf welcher Site sie verwendet werden sollte.

Und das ist, bevor man bedenkt, dass es ungewöhnlich ist, Passwörter für fehlgeschlagene Anmeldeversuche zu protokollieren.

Es schadet nicht, es zu ändern, aber wenn Sie nicht den Namen der anderen Site als Passwort verwenden, ist es unwahrscheinlich, dass jemand die Informationen nutzen kann.

37
Matthew

Obwohl ich mir vorstelle, dass die meisten vernünftigen Webentwickler keine Klartextversionen fehlgeschlagener Kennwortversuche protokollieren würden, ist dies dennoch möglich. Wenn Sie auf der sicheren Seite sein möchten, können Sie dies als gefährdet betrachten und das Kennwort zurücksetzen. Ich persönlich würde es jedoch nicht wirklich als Problem betrachten, wenn ich nicht zweifelsfrei der Meinung wäre, dass die erste Website möglicherweise ein Risiko für mich darstellt.

26
d0nut

Der einzige Fall, in dem ich dieses Passwort ändern würde, ist, wenn die Site, die es sichert, für Sie wesentlich wichtiger ist als die Site, in die Sie es eingegeben haben.

Zum Beispiel gibt es Menschen auf der Welt, die Zugang zu Systemen haben, an denen nationalstaatliche Akteure interessiert wären. Wenn diese Menschen ihr wichtiges Passwort in eine andere Site eingeben würden, sollten sie es sofort ändern.

19
kd8azz

Behandle das Passwort als kompromittiert. Niemand kann Ihnen das versichern

  • die Seite hat keine Schurken-Systemadministratoren.
  • die Site hat Passwörter gehasht oder verschlüsselt.
  • ihnen fehlen SQL-Injection-Schwachstellen, mit denen Daten, einschließlich Benutzernamen/E-Mails/Passwörter, abgerufen werden können.
  • jeder, der auf diese Daten zugreift, wird es wagen, das Eindringen in mehrere andere Websites zu testen, und Sie werden so unglücklich sein, dass er genau diese trifft.

Solange die geringe Möglichkeit besteht, dass einige oder alle der oben genannten Punkte zutreffen, haben Sie ein kompromittiertes Passwort.

Als Faustregel gilt, dass das Passwort weg ist und das Passwort ungültig ist. Ändere es und schlafe.

Eine andere Geschichte ist, ob Sie tatsächlich Ihre Zeit verlieren möchten, indem Sie ein Passwort ändern, das nichts schützt (z. B. ein leeres Blog, ein nutzloses E-Mail-Konto, ...) oder Ihr Bankkonto.

9
null_pointer

Der Begriff "kompromittiert" ist kein binäres Ja oder Nein. Es ist ein Konzept, das misst, wer Zugriff auf ein Konto hat und wie sehr sich seine Ziele von Ihren unterscheiden können.

Nehmen Sie in diesem Fall an, dass jeder, der möglicherweise Zugriff auf Anmeldungen auf www.example.com hatte, jetzt Ihr Passwort hat. Dies schließt jeden ein, der www.example.com gehackt hat, und alle Mitarbeiter, denen die Führung von www.example.com vertrauen würde, wenn sie genügend Zugriff haben, um Passwörter von Benutzern zu sammeln (möglicherweise eine Handvoll Datenbankadministratoren).

Das sind alle Daten. Geh von dort aus. Wenn Sie ein Kennwort zum Schutz von Verschlusssachen in einem Forum verwendet haben, sollten Sie es sofort als gefährdet behandeln, da diese Gefährdung für ein solches privilegiertes Konto nicht akzeptabel ist. Wenn Sie das Passwort eines Forums für ein anderes verwendet haben, ist dies wahrscheinlich nicht das größte Geschäft.

In der Mitte könnten Sie den Fall betrachten, in dem Sie Ihr Bankkontopasswort in einem Forum verwendet haben. Dies ist eine Grauzone, die vollständig von Ihrem persönlichen Bedrohungsmodell abhängt.

7
Cort Ammon
  • Wenn die Site (also die Person dahinter) böswillig ist, fügt sie das fehlgeschlagene Passwort der Liste der Dinge hinzu, die sie über Sie weiß, und wird sicherlich die Taktik in Betracht ziehen, es auf jedem anderen Konto zu versuchen, von dem sie weiß. Als solches sollten Sie es als kompromittiert betrachten.

  • Wenn die Site inkompetent ist, kann Ihr fehlgeschlagenes Passwort irgendwie verloren gehen. Aber wenn es dies tut, wird es auch eine Menge von leichten Tippfehlern seiner eigenen Passwörter verlieren, was für sie wirklich ziemlich ernst ist. Es muss also wirklich ziemlich inkompetent sein.

  • Wenn die Site im Grunde genommen normal ist, werden Sie keine Aufzeichnungen über fehlgeschlagene (oder erfolgreiche) Passwörter führen, außer den gehashten und gesalzenen Aufzeichnungen.

Beachten Sie, dass Websites, die selbst kompromittiert wurden, vernünftigerweise als bösartig angesehen werden können.

Sie müssen also das Gleichgewicht zwischen dem Risiko, dass sie sehr böswillig oder sehr inkompetent oder sehr gehackt sind, und den damit verbundenen Kosten für die Gefährdung des Kennworts und den Kosten für die Änderung dieses Kennworts berücksichtigen.

Wenn Sie befürchten, dass das Risiko erheblich sein könnte, ändern Sie das Kennwort. Dies ist normalerweise sehr einfach, wenn Sie einen Passwort-Manager verwenden. Es ist nicht so, dass Sie den neuen lernen müssen. Ihr Aufwand ist jedoch sehr wahrscheinlich unnötig, da die meisten Websites die meiste Zeit "im Grunde genommen normal" sind.

Sie sollten auch sorgfältig darüber nachdenken, was zu dem Fehler geführt hat. Die Tatsache, dass Sie Ihre Anmeldeinformationen auf der "falschen Site" eingegeben haben, ist ein verständlicher Fehler. Stellen Sie jedoch sicher, dass Sie nicht systematisch die Identität von Websites nicht ordnungsgemäß überprüfen, bevor Sie Anmeldeinformationen eingeben, oder dass Sie dies tun dort verwundbar.

7
Steve Jessop

Wenn Sie das Passwort von Website A in Website B eingegeben haben,

Berücksichtigen Sie einige Aspekte: Wie vertrauenswürdig ist Web B? Ist Web B ein renommiertes Unternehmen, das den Marktstandards entspricht? Sind die Inhalte von Web A wirklich anfällig? Gibt es eine Möglichkeit, anhand des Passworts zu erraten, zu welcher Website es gehört?

Wenn Sie bei einer dieser Fragen verwirrt sind, ändern Sie sie einfach.

Sie werden nie erfahren, ob der WebManager/SysAdmin das Kennwort als Rohtext oder als dekodierbare Verschlüsselung auf dem Server speichert oder es durch Einweg-Hashing sichert.

2

War die Seite, auf der Sie das falsche Passwort eingegeben haben, facebook.com?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard-crimson-2010-

Mark nutzte seine Website TheFacebook.com, um nach Mitgliedern der Website zu suchen, die sich als Mitglieder der Crimson identifizierten. Dann untersuchte er ein Protokoll mit fehlgeschlagenen Anmeldungen, um festzustellen, ob eines der Crimson-Mitglieder jemals ein falsches Passwort in TheFacebook.com eingegeben hatte. Wenn die Fälle, in denen sie eingegeben hatten, fehlgeschlagen waren, versuchte Mark, sie zu verwenden, um auf die Harvard-E-Mail-Konten der Crimson-Mitglieder zuzugreifen. Er hat erfolgreich auf zwei von ihnen zugegriffen.

1
Adrian Panasiuk

Lassen Sie uns unsere legendären [Tinfoil Hat].


Können Websites meine Passwörter protokollieren?

Nehmen wir an, die Website hat das Hashing korrekt durchgeführt. Wenn Sie sich auf einer Website anmelden, können sie Ihr Klartext Passwort verwenden und es mit dem gespeicherten Hash vergleichen. Wenn das Kennwort mit dem in der Datenbank gespeicherten Hash übereinstimmt, können Sie sich authentifizieren. Wenn nicht, werden Sie darüber informiert, dass Ihr Passwort ungültig ist.

Na und?

Nun, es kommt vor, dass jeder mit einem Minimum an Programmierkenntnissen ungültige Passwörter protokollieren kann, indem einer Authentifizierungsmethode für any Art von Website eine neue Zeile hinzugefügt wird. .. auch wenn es sich um ein beliebtes Open-Source-Webportal, Forum oder eine andere Art von Paket handelt. Solange die Quelle geändert werden kann, kann man alles ändern, was sie wollen, wie folgt:

private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
    if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
    {
        AuthenticateMyFace();
    }
    else
    {
        Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
        InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
    }
}

Tatsächlich könnte ein Programmierer dies tun vorher Hashing für alles, was mit Passwörtern zu tun hat. Nichts hindert jemanden daran.


Risikomanagement

Hier sind einige Fragen zu berücksichtigen:

  1. Interessiert Sie die Integrität beider Konten?
  2. Wird in beiden Konten dieselbe E-Mail verwendet?
  3. Verwenden Sie für die betreffende E-Mail und die Website (n) dasselbe Passwort (ich hoffe nicht)?

Wenn ja zu 1-3, würde ich empfehlen, Ihr Passwort zu ändern. Es sei denn, es ist dir einfach egal.

Sollten Sie jetzt, da wir gezeigt haben, dass dies an jeder Front möglich ist, Angst vor einem solchen Angriff haben? Ich würde mir darüber keine Sorgen machen. Wenn Sie sich Sorgen machen, sollten Sie wahrscheinlich etwas wie KeePass verwenden, um Website-Anmeldeinformationen zu verwalten, damit Sie sich zu Recht keine Sorgen machen müssen.

0
Mark Buffalo