Frage:
Wenn ich ein Passwort auf der falschen Seite eingebe, sollte ich es als kompromittiert betrachten?
JonnyWizz
2015-11-12 20:30:12 UTC
view on stackexchange narkive permalink

Ich habe vor kurzem begonnen, einen Passwort-Manager und gute Passwortpraktiken zu verwenden. Ich habe für jede Site, die ich verwende, ein anderes Passwort.

Wenn ich beim Anmelden auf einer Webseite versehentlich das Passwort einer anderen Site verwende, sollte ich das Passwort als kompromittiert betrachten und ändern?

  • Wenn mein Passwort für www.example.com passwordOne
  • und mein Passwort für www.ejemplo.com war contraseñaUno
  • Und ich versuche es versehentlich um sich mit dem Passwort bei www.example.com anzumelden contraseñaUno

Muss ich das Passwort für www.ejemplo.com aktualisieren?

Ich sehe ein ähnliches, aber anderes Frage hier, aber das bezieht sich auf das Passwort, das in das Feld Benutzername eingegeben wird.

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/31641/discussion-on-question-by-jonnywizz-if-i-enter-a-password-on-the-wrong- site-sho).
Zehn antworten:
#1
+49
Gudradain
2015-11-12 22:34:05 UTC
view on stackexchange narkive permalink

Nur um den Anwalt des Teufels zu spielen ...

Es ist genauso wahrscheinlich, dass Sie kompromittiert werden, als würden Sie auf beiden Websites dasselbe Passwort verwenden *.

Wie die meisten Leute gezeigt haben, müssen Sie sich wahrscheinlich keine Sorgen machen. Nicht so sehr, weil eine Website nicht zwischen einem guten und einem falschen Passwort unterscheiden kann, sondern weil die meisten Websites, die Sie besuchen, Ihr Passwort wahrscheinlich nicht protokollieren. Der Grund ist einfach, dass es ihnen keinen Wert bietet. Die meisten Websites sind dazu da, legitime Geschäfte zu tätigen, und sehen daher keinen Wert darin, böswillig zu sein, indem sie jedes eingegebene Passwort aufzeichnen.

Wenn ich jedoch böse Absichten hatte und viele mögliche Passwörter sammeln wollte, hosten Sie einen Online-Dienst, um diese zu sammeln Passwörter wären wahrscheinlich eine bessere Alternative als der Versuch, alle möglichen Kombinationen brutal zu erzwingen. Es ist keine schlechte Idee, alle Passwörter abzufangen, auch schlechte, wenn Sie diese Art von "Service" hosten. Benutzer mit mehreren Kennwörtern geben sehr wahrscheinlich die falschen Kennwörter auf der falschen Site ein. Daher ist es ein guter Angriffsplan, sowohl schlechte als auch gute Versuche zu protokollieren.

Betrachten Sie beispielsweise dieses Zitat aus https : //howsecureismypassword.net/

Diese Site könnte Ihr Passwort stehlen ... ist es nicht, aber es könnte leicht sein.
Seien Sie vorsichtig, wo Sie Ihr Passwort eingeben.

Es hat die Dinge relativiert. Ist solch ein böser "Dienst" auch so unwahrscheinlich? Es ist schwer zu sagen, aber sicher nichts Neues: https://xkcd.com/792/

Hinweis * : Nun, ich habe es gesagt "so wahrscheinlich", aber es ist nicht genau wahr. Wenn Sie auf vielen Websites dasselbe Kennwort verwenden, sind Sie nicht nur anfällig für schädliche Websites, sondern auch für die Inkompetenz der Websitebesitzer. Viele Websites speichern Ihr Passwort immer noch im Klartext in ihrer Datenbank oder verwenden schwaches Hashing. Wenn ein Angreifer seine Datenbank stehlen kann, ist Ihr Passwort gefährdet.

Dies ist ein guter Punkt - und der Grund, warum die seriösen Websites zur Überprüfung von Verstößen nicht nach Passwörtern fragen. Stattdessen fragen sie nach E-Mail-Adressen und prüfen, ob sie bei Datenschutzverletzungen aufgetaucht sind. Ein Passwort ohne entsprechende Konto-ID sollte so gut wie unbrauchbar sein, außer als Eintrag in einer langen Liste von "potenziellen Passwörtern".
@Matthew Nun, die meisten Websites fragen nach einer E-Mail-Adresse als Benutzernamen. Der Benutzer wird auf jeder Site dieselbe Adresse wiederverwenden. Sobald der Angreifer eine Kombination aus Benutzername und Passwort erhalten hat, muss er nur einige gängige Websites wie Facebook, Google, Stackoverflow usw. ausprobieren.
Dies würde für eine schädliche Site gelten, was nicht die erwähnte Situation ist. In diesem Fall gibt es keinen Angreifer
@Matthew Er hat nie gesagt, ob die Seite bösartig ist oder nicht. Nach allem, was wir wissen, kann jede Website, die wir nicht kontrollieren, bösartig sein.
Sicher nicht "so wahrscheinlich". Wenn Sie dasselbe Kennwort verwenden, wird Ihr Kennwort (oder ein Hash) sicher auf Site1 und Site2 gespeichert. Ein Hacker, der die Datenbank erhält, kann versuchen, Ihr Passwort wiederherzustellen. Mit nur einem Passwortversuch ist die Wahrscheinlichkeit sehr viel größer, dass das für den Versuch selbst verwendete Passwort nicht protokolliert wird.
@Konerak: Nur inkompetente und böswillige Personen speichern das Login-Passwort, Klartext oder verschlüsselt, da ein ordnungsgemäß gesalzener Hash für diesen Zweck ausreicht und nicht rückgängig gemacht werden kann. Und ob die Website ehrlich ist oder nicht, sie kann kompromittiert werden, sei es durch Social Engineering (schlechte Mitarbeiter oder E-Mail, einschließlich der legalen Art), physischen Zugriff oder Hacking.
Deduplikator: Ich stimme zu. Sie verstärken nur meine Argumentation.
@Konerak Ich stimme zu. Die Antwort wurde bearbeitet, um dies zu berücksichtigen.
#2
+37
Matthew
2015-11-12 20:39:02 UTC
view on stackexchange narkive permalink

Es geht Ihnen wahrscheinlich gut - es gibt keinen besonderen Unterschied zwischen einem falschen Passwort für die richtige Site und einem richtigen Passwort für die falsche Site. Selbst wenn dies der Fall wäre, würde die Site, die das falsche Passwort erhalten hat, nicht wissen, auf welcher Site sie verwendet werden soll.

Und das ist, bevor man bedenkt, dass es ungewöhnlich ist, Passwörter für fehlgeschlagene Anmeldeversuche zu protokollieren .

Es schadet nicht, sie zu ändern. Wenn Sie jedoch nicht den Namen der anderen Site als Kennwort verwenden, ist es unwahrscheinlich, dass jemand die Informationen verwenden kann.

Auch wenn der verwendete Benutzername (E-Mail) derselbe ist, wird es wahrscheinlicher, dass er irgendwo in einem Wörterbuch endet.
Es ist sehr plausibel, dass das Kennwort für die Protokollierung böswilliger Websites fehlgeschlagen ist, da es nicht ungewöhnlich ist, das falsche Kennwort auf die falsche Website zu schreiben, wenn Sie viele Kennwörter speichern müssen. Außerdem scheinen Sie die Arbeit, die erforderlich ist, um den richtigen Dienst zu finden, erheblich zu überschätzen, wenn Sie bereits eine mögliche Kombination aus Benutzername und Passwort haben. Nehmen Sie einfach die 1000 beliebtesten Dienste und Sie haben ziemlich gute Chancen, sich erfolgreich anzumelden. 1000 Versuche sind nichts, wenn Sie versuchen, Passwörter zu knacken.
@Gudradain Es wird zwischen einer böswilligen und einer versehentlich besuchten Website unterschieden. Es ist unwahrscheinlich, dass eine legitime Site, auf der Sie das falsche Passwort eingeben, Passwörter protokolliert. Eine bösartige Website ist ein anderes Problem
Weil es sehr einfach ist zu sagen, welche Site bösartig ist und welche nicht. Richtig?
@Gudradain In diesem Fall ja. Wenn Sie Ihr Facebook-Passwort in ein Twitter-Anmeldefeld eingeben, wird es nicht protokolliert und nicht gegen Sie verwendet. Das Gleiche gilt umgekehrt. Hier geht es nicht um Phishing-Angriffe, bei denen die Site aktiv versucht, Details zu erhalten
@Gudradain OP sagte, er habe ein Konto auf beiden Websites, er habe nur seine beiden Passwörter verwechselt ... Warum sollte er ein Konto auf einer verdächtigen Website haben?
@Mr.E Denn selbst wenn es sich um eine Site handelt, die Sie häufig besuchen, ist es sehr schwer zu sagen, ob diese Site kein Nebengeschäft mit dem Knacken von Passwörtern hat. Nach allem, was ich weiß, könnte Stackoverflow alle meine Passwortversuche protokollieren, wenn sie dies wünschen.
@Matthew Wir können es jedoch nie erfahren. ** Praktisch ** ist die Kennwortprotokollierung für fehlgeschlagene Versuche fast nie ein Problem. Allerdings ** realistisch ** gibt es keine Garantie. Im Jahr 2008 wurde ich beauftragt, einige Entwicklerarbeiten in einem vBulletin-basierten Forum mit mehreren Millionen Benutzern durchzuführen. Während des Upgrades auf mehrere Module stellte ich zufällig fest, dass eines der PHP-Skripte einen anderen Zeitstempel hatte als alles andere. Zu diesem Zeitpunkt stellte ich fest, dass jeder Anmeldeversuch mindestens 6 Monate lang protokolliert wurde und niemand davon wusste. Scheiße passiert.
Selbst wenn die Websitebesitzer ziemlich gute Leute sind, warum sollte man sich darauf verlassen, dass ihre Sicherheit makellos ist? Und warum sollte man davon abhängen, dass sie mehr ehrlich als notwendig sind? Sie könnten mit jedem zusammenarbeiten, der stillschweigend aus irgendeinem Grund, den sie für ausreichend halten, wie Gesetze.
@Gudradain Ich denke, das ist nicht im Rahmen der Frage. Woher wissen wir, dass OP keinen Keylogger hat? Ist sein Passwort-Manager anfällig? Es gibt Millionen von Möglichkeiten. Würden Sie empfehlen, Ihr Passwort jedes Mal zu ändern, wenn Sie es verwenden, nur weil die Website es möglicherweise speichert? Ich denke nicht...
#3
+26
d0nut
2015-11-12 20:34:21 UTC
view on stackexchange narkive permalink

Obwohl ich mir vorstelle, dass die meisten vernünftigen Webentwickler keine Klartextversionen fehlgeschlagener Kennwortversuche protokollieren würden, ist dies dennoch möglich. Wenn Sie auf der sicheren Seite sein möchten, können Sie dies als gefährdet betrachten und das Kennwort zurücksetzen. Ich persönlich würde es jedoch nicht wirklich als Problem betrachten, wenn ich nicht zweifelsfrei der Meinung wäre, dass die erste Website möglicherweise ein Risiko für mich darstellt.

Ich bin nicht gesund, ich bin einfach zu faul, obwohl ich darüber nachgedacht habe.
Meine Frage wäre: "Mit Programmen wie lastpass, die es so einfach machen, Ihr Passwort zu ändern, warum NICHT ändern?" Zumindest gibt es Ihnen Ruhe, und das ist eine Menge wert.
Wenn Sie den letzten Pass haben, können Sie ihn genauso gut ändern, aber ich bin nicht davon ausgegangen, dass dies der Fall ist. Der allgemeine Kern meiner Aussagen lautet: * Wenn Sie sich tatsächlich Sorgen machen, ändern Sie ihn. Wenn Sie sonst keinen Grund haben, etwas von der Website zu vermuten, auf die Sie versehentlich die Bohnen verschüttet haben (z. B. Google), sollte es Ihnen gut gehen . *
Warum "Klartextversionen"? Selbst wenn es reversibel verschlüsselt ist, hat der böswillige Site-Eigentümer oder Hacker, der es rückgängig machen kann, den Pass.
@Konerak Normalerweise verschlüsseln Sie keine Passwörter. Sie haben sie gehasht, was kein reversibler Prozess ist.
@iismathwizard, ja, daher das "gerade". Sie sollten sie hashen, aber diese Antwort lautete "Klartext protokollieren ist eine Sicherheitslücke". Ich wollte hinzufügen "sogar die Protokollierung verschlüsselt ist".
@Konerak wo habe ich das gesagt?
#4
+19
kd8azz
2015-11-12 21:46:09 UTC
view on stackexchange narkive permalink

Der einzige Fall, in dem ich dieses Passwort ändern würde, ist, wenn die Site, die es sichert, für Sie wesentlich wichtiger ist als die Site, in die Sie es eingegeben haben.

Zum Beispiel gibt es Menschen auf der Welt die Zugang zu Systemen haben, an denen nationalstaatliche Akteure interessiert wären. Wenn diese Personen ihr wichtiges Passwort in eine andere Site eingeben würden, sollten sie es sofort ändern.

Ich denke, das ist eine gute feste Regel für die Situation.
Ich frage mich, was passieren würde, wenn jemand als "Honeypot-Benutzer" agieren würde, jeder einer großen Anzahl von Websites ein anderes falsches Passwort geben und dann nach Versuchen suchen würde, diese Passwörter an einer bestimmten Site zu verwenden. Wenn jemand eine zufällige Zeichenfolge generiert und diese als Kennwort für acme.example.com verwendet, diese jedoch nirgendwo anders verteilt und anschließend versucht wird, diese Zeichenfolge zu verwenden, um sich bei einem der Konten dieser Person anzumelden, würde dies der Fall sein scheinen zu implizieren, dass jemand auf acme.example.com es durchgesickert ist. Wenn acme.example.com sicher sein soll, kann ein solches Verhalten zu einem blauen Auge führen.
@supercat: Ja. Das bedeutet jedoch, dass Sie protokollieren müssen, welche falschen Passwörter verwendet wurden, für mindestens einen beliebten Dienst, den Sie verwenden, zumindest für Ihr eigenes Konto. Das heißt, Sie müssen es mit den Eigentümern einrichten. Ziemlich schwer zu organisieren und könnte die Bösen warnen, je nachdem wer sie sind ... Trotzdem eine nette Idee.
@Deduplicator: Die Idee wäre, dass der Eigentümer eines der Dienste den Honeypot erstellt und somit in der Lage ist, nach einem der bösen Passwörter zu suchen (nicht durch Protokollierung aller Passwörter, sondern über einen Mechanismus, der nur bestimmte Fehler aufzeichnet Passwörter für einen bestimmten Benutzer).
#5
+9
null_pointer
2015-11-12 23:53:53 UTC
view on stackexchange narkive permalink

Behandeln Sie das Passwort als gefährdet . Niemand kann Ihnen versichern, dass

  • auf der Site keine unerwünschten Systemadministratoren vorhanden sind.
  • Auf der Site wurden Kennwörter gehasht oder verschlüsselt.
  • Es fehlen Sicherheitslücken bei der SQL-Injektion Dies ermöglicht das Abrufen von Daten, einschließlich Benutzernamen / E-Mails / Passwörtern.
  • Jeder, der auf diese Daten zugreift, wird es wagen, das Eindringen auf mehreren anderen Websites zu testen, und Sie haben so viel Pech, dass er genau diese trifft.

Solange die geringe Wahrscheinlichkeit besteht, dass einige oder alle der oben genannten Punkte zutreffen, haben Sie ein kompromittiertes Passwort.

Als Faustregel gilt, dass das Passwort weg ist, das Passwort Leere. Ändern Sie es und schlafen Sie.

Eine andere Geschichte ist, ob Sie tatsächlich Ihre Zeit verlieren möchten, wenn Sie ein Passwort ändern, das nichts schützt (z. B. leeres Blog, nutzloses E-Mail-Konto, ...) oder Ihr Bankkonto.

#6
+7
Cort Ammon
2015-11-12 23:17:10 UTC
view on stackexchange narkive permalink

Der Begriff "kompromittiert" ist kein binäres Ja oder Nein. Es ist ein Konzept, das misst, wer Zugriff auf ein Konto hat und inwieweit sich seine Ziele von Ihren unterscheiden.

In diesem Fall wird davon ausgegangen, dass jeder, der möglicherweise Zugriff auf Anmeldungen auf www.example.com hatte, jetzt über Ihre verfügt Passwort. Dies schließt jeden ein, der www.example.com gehackt hat, und alle Mitarbeiter, denen die Führung von www.example.com mit ausreichendem Zugriff vertrauen würde, um Passwörter von Benutzern (möglicherweise eine Handvoll Datenbankadministratoren) zu sammeln.

Das sind alle Daten . Geh von dort aus. Wenn Sie ein Kennwort zum Schutz von Verschlusssachen in einem Forum verwendet haben, sollten Sie es sofort als gefährdet behandeln, da diese Gefährdung für ein solches privilegiertes Konto nicht akzeptabel ist. Wenn Sie das Passwort eines Forums in einem anderen verwendet haben, ist dies wahrscheinlich nicht das größte Problem.

In der Mitte können Sie den Fall in Betracht ziehen, in dem Sie Ihr Passwort für das Bankkonto in einem Forum verwendet haben. Dies ist eine Grauzone, die vollständig von Ihrem persönlichen Bedrohungsmodell abhängt.

#7
+7
Steve Jessop
2015-11-13 09:42:09 UTC
view on stackexchange narkive permalink
    • Wenn die Site (also die Person dahinter) böswillig ist, fügt sie das fehlgeschlagene Passwort der Liste der Dinge hinzu, die sie über Sie weiß, und wird sicherlich die Taktik in Betracht ziehen, es bei jedem zu versuchen anderer Account, den es kennt. Daher sollten Sie es als gefährdet betrachten.

    • Wenn die Site inkompetent ist, kann Ihr fehlgeschlagenes Kennwort irgendwie verloren gehen. Aber wenn es dies tut, wird es auch eine Menge kleiner Tippfehler seiner eigenen Passwörter verlieren, was für sie wirklich ziemlich ernst ist. Es muss also wirklich ziemlich inkompetent sein.

    • Wenn die Site im Grunde normal ist, geht es Ihnen gut, es werden keine Aufzeichnungen über fehlgeschlagene (oder erfolgreiche) Passwörter geführt. (außer dem gehashten und gesalzenen Datensatz).

    Beachten Sie, dass Websites, die selbst kompromittiert wurden, vernünftigerweise als bösartig angesehen werden können.

    Sie müssen also das Gleichgewicht zwischen dem Risiko, dass sie sehr böswillig oder sehr inkompetent oder sehr gehackt sind, und den damit verbundenen Kosten für die Gefährdung des Kennworts im Vergleich zu den Kosten für die Änderung dieses Kennworts berücksichtigen.

    Wenn Sie befürchten, dass das Risiko erheblich sein könnte, ändern Sie das Passwort. Dies ist normalerweise sehr einfach, wenn Sie einen Passwort-Manager verwenden. Es ist nicht so, dass Sie den neuen lernen müssen. Ihr Aufwand ist jedoch sehr wahrscheinlich unnötig, da die meisten Websites die meiste Zeit "im Grunde genommen normal" sind.

    Sie sollten auch sorgfältig überlegen, was zu dem Fehler geführt hat. Die Tatsache, dass Sie Ihre Anmeldeinformationen auf der "falschen Site" eingegeben haben, ist ein verständlicher Fehler. Stellen Sie jedoch sicher, dass Sie die Identität von Sites nicht systematisch überprüfen, bevor Sie Anmeldeinformationen eingeben dort verwundbar.

#8
+2
Shubhradeep Mallik
2015-11-13 20:24:16 UTC
view on stackexchange narkive permalink

Wenn Sie das Passwort von Website A in Website B eingegeben haben,

Berücksichtigen Sie einige Aspekte: Wie vertrauenswürdig ist Web B? Ist Web B ein renommiertes Unternehmen, das den Marktstandards entspricht? Sind die Inhalte von Web Gibt es eine Möglichkeit, anhand des Passworts zu erraten, zu welcher Website es gehört?

Wenn Sie bei einer dieser Fragen verwirrt sind, ändern Sie es einfach.

Sie werden nie erfahren, ob der WebManager / SysAdmin das Kennwort als Rohtext oder als dekodierbare Verschlüsselung auf dem Server speichert oder es durch Einweg-Hashing sichert.

#9
+1
Adrian Panasiuk
2015-11-16 15:30:39 UTC
view on stackexchange narkive permalink

War die Site, auf der Sie das falsche Passwort eingegeben haben, facebook.com?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard- crimson-2010-3

Mark verwendete seine Website TheFacebook.com, um Mitglieder der Website zu suchen, die sich als Mitglieder der Crimson identifizierten. Dann untersuchte er ein Protokoll mit fehlgeschlagenen Anmeldungen, um festzustellen, ob eines der Crimson-Mitglieder jemals ein falsches Passwort in TheFacebook.com eingegeben hatte. Wenn die Fälle, in denen sie eingegeben hatten, fehlgeschlagen waren, versuchte Mark, sie zu verwenden, um auf die Harvard-E-Mail-Konten der Crimson-Mitglieder zuzugreifen. Er hat erfolgreich auf zwei von ihnen zugegriffen.

Sie sollten dies wahrscheinlich besser als Beispiel dafür präsentieren, wie ein falsch eingegebenes Passwort dazu führen kann, dass es kompromittiert wird. Dann wäre es eine klare Antwort im Kontext der ursprünglichen Frage.
#10
  0
Mark Buffalo
2016-01-29 04:43:32 UTC
view on stackexchange narkive permalink

Rüsten wir unseren legendären [Alufolienhut] aus.


Können Websites meine Passwörter protokollieren?

Nehmen wir an, die Website hat das Hashing korrekt durchgeführt. Wenn Sie sich auf einer Website anmelden, können sie Ihr Klartext -Kennwort verwenden und es mit dem gespeicherten Hash vergleichen. Wenn das Kennwort mit dem in der Datenbank gespeicherten Hash übereinstimmt, können Sie sich authentifizieren. Wenn nicht, werden Sie darüber informiert, dass Ihr Passwort ungültig ist.

Na und?

Nun, es kommt vor, dass jeder mit ein wenig Programmierkenntnissen ungültige Passwörter protokollieren kann, indem einer Authentifizierungsmethode für jede Art eine neue Zeile hinzugefügt wird der Website ... auch wenn es sich um ein beliebtes Open-Source-Webportal, Forum oder ein beliebiges Paket handelt. Solange die Quelle geändert werden kann, kann man alles ändern, was sie wollen, wie zum Beispiel:

  private void CheckPasswordBeforeHackingMyAOL-CD (Zeichenfolgeneingabe, Zeichenfolgenbenutzername) {if (IsValid (Eingabe) && IsValid (username) && Bcrypt.TestHash (Eingang, Database.GetHashForUser (username)) {AuthenticateMyFace ();} else {Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks (Benutzername, input); InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing ();}}  

Tatsächlich könnte ein Programmierer dies tun, bevor für alles, was mit Passwörtern zu tun hat, gehasht wird. Nichts hindert jemanden daran.


Risikomanagement

Hier sind einige Fragen, die Sie berücksichtigen sollten:

  1. Interessiert Sie die Integrität beider Konten?
  2. Wird in beiden Konten dieselbe E-Mail verwendet?
  3. Verwenden Sie für die E-Mail und die Website (s) in questio dasselbe Passwort n (ich hoffe nicht)?
  4. ol>

    Wenn ja, 1-3, würde ich empfehlen, Ihr Passwort zu ändern. Es sei denn, es ist dir einfach egal.

    Sollten Sie jetzt, da wir gezeigt haben, dass dies an jeder Front möglich ist, Angst vor einem solchen Angriff haben? Ich würde mir darüber keine Sorgen machen. Wenn Sie sich Sorgen machen, sollten Sie wahrscheinlich KeePass verwenden, um Website-Anmeldeinformationen zu verwalten, damit Sie sich zu Recht keine Sorgen machen müssen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...