Frage:
Was ist der Zweck der Bestätigung des alten Passworts, um ein neues Passwort zu erstellen?
ronaldtgi
2017-06-15 14:33:20 UTC
view on stackexchange narkive permalink

enter image description here

Angenommen, jemand hat mein Passwort gestohlen, er kann es leicht ändern, indem er das alte Passwort bestätigt.

Also, ich Ich bin gespannt, warum wir diesen Schritt brauchen und wozu die alte Passwortbestätigung verwendet wird.

Beachten Sie, dass diese Richtlinie (oder eine ähnliche Richtlinie) aus den in den Antworten angegebenen Gründen für alle Funktionen zur Kontokontrolle gelten muss.Z.B.Ändern der E-Mail-Adresse des Kontos, wenn eine Funktion zum Zurücksetzen des Kennworts vorhanden ist.
@ronaldtgi Ich nehme an, Sie implizieren "Warum brauchen wir diesen Schritt _ *, wenn wir bereits angemeldet sind * _, ist das richtig? Ansonsten scheint die Frage albern.
Außerdem müssen Sie Ihr Kennwort erneut eingeben, wenn Sie auf einem Linux-Computer einen "sudo" -Befehl ausgeben.Andernfalls trete ich 30 Sekunden lang zurück, ohne meinen PC zu sperren. Jemand gibt schnell "sudo maliciouscommand" ein und ich bin abgespritzt, obwohl diese Person nur den Root-Zugriff verwendet hat, obwohl ich nicht als root angemeldet war.Oder wie die Windows-Benutzerkontensteuerung, die Sie erhalten, wenn Sie etwas installieren.Dies sind alles nur zusätzliche Gateways, die Schutzschichten bieten.
"Angenommen, jemand hat mein Passwort gestohlen, er kann es leicht ändern, indem er das alte Passwort bestätigt."In der Tat, aber wenn das System nicht nach dem alten Passwort fragt, wird es zu "Angenommen, jemand kennt mein Passwort überhaupt nicht, er / sie kann es leicht ändern, was er will".Klingt das für Sie sicher?
@oerkelens Diese zweite Aussage ist nicht korrekt und überschätzt das Problem.Es sollte "Angenommen, jemand kannte mein Passwort überhaupt nicht, er / sie kann es leicht ändern, was er will *, wenn er / sie Zugriff auf ein System hat, auf dem ich bereits angemeldet bin *".Dies kann je nach Kontext innerhalb akzeptabler Sicherheitsgrenzen liegen.Z.B.Wahrscheinlich muss mein Einbruchmeldesystem mich nicht nach meinem alten Code fragen, wenn ich ihn ändern möchte, da es kein realistisches Szenario gibt, in dem dies von Bedeutung wäre.
@Aaron, ja in der Tat.Wenn ich die Frage stelle, als würde ich abgemeldet und möchte die Passwörter bearbeiten, wäre das alberner.
Ich frage mich, wie viele Leute es mit Argumenten umsetzen
Was ist, wenn jemand einen Weg findet, das Anmeldesystem vollständig zu umgehen?Das Erzwingen der Verwendung eines Kennworts für die Kennwortänderung verhindert, dass ein Hacker Sie sperrt.Zugegeben, sie hätten immer noch Zugang, aber zumindest * du * kannst immer noch einsteigen. Keine wirkliche Antwort.Nur ein kleiner Gedanke.Ich könnte völlig falsch liegen.
Einstieg in Ihre Sitzung! = Diebstahl Ihres Passworts
Das Hinzufügen einer Sicherheitsfrage ist am besten
Sechs antworten:
schroeder
2017-06-15 14:36:37 UTC
view on stackexchange narkive permalink

Wenn Sie angemeldet sind und ich mich an Ihren Computer setze, kann ich Sie von Ihrem Konto sperren und das Eigentum auf mich selbst übertragen.

Heh du hast recht, deine Antwort war sowieso besser.
Oft sehe ich, dass beim Ändern eines Passworts eine E-Mail an die Adresse gesendet wird, unter der Sie sich registriert haben (oder wenn es sich um die Änderung der E-Mail-Adresse handelt, werden 2 E-Mails an neue und alte Adressen gesendet), mit einer speziellen URL "Diese Änderung rückgängig machen"Vermeiden Sie genau diese Art der Übernahme.
@user1306322 Ich gebe zu, dass ich noch nie eine Option zum Zurücksetzen dieser Änderung gesehen habe, nur einen Hinweis, dass etwas versucht wurde.Wissen Sie, welche Dienste die "Zurücksetzen" -Optionen anbieten?
@schroeder Die meisten E-Mails mit "geändertem Passwort", die ich gesehen habe, enthalten normalerweise keine Schaltfläche "Diese Änderung zurücksetzen", aber sie enthalten normalerweise Anweisungen, was zu tun ist, wenn Sie nicht derjenige waren, der die Änderung initiiert hat.Normalerweise werden Sie in diesen Anweisungen aufgefordert, Ihr Kennwort über den normalen E-Mail-basierten Kontowiederherstellungsprozess zurückzusetzen. Dies ist wahrscheinlich besser, als die Änderung ohnehin nur rückgängig zu machen, da derjenige, der Ihr Kennwort zuerst geändert hat, wahrscheinlich bereits über Ihr altes Kennwort verfügt.
@schroeder führt entweder zu der Seite, auf der Sie Ihre Anmeldeinformationen (die Sie noch haben) oder Sicherungsnummern wie in Google-Konten eingeben können, oder es ist ein langer eindeutiger Schlüssel in der URL, und nein, ich kann sie nicht oben auf benennenmein Kopf.Aber ja, die meiste Zeit führt der Link zu der Seite mit Anweisungen, wie dies rückgängig gemacht werden kann, aber die Änderung wird nicht mit einem Klick rückgängig gemacht.
@user1306322, das für mich sinnvoller ist und meiner Erfahrung entspricht
Außerdem: CSRF- oder XSS-Schwachstellen können ein Konto nicht trivial übernehmen.
@Ajedi32 Ein Link zum Zurücksetzen ist eine gute Idee für Situationen, in denen das Kennwort und die E-Mail-Adresse geändert werden.
@schroeder haben leider nicht genug Anbieter diesen "Zurücksetzen" -Button.Es ist großartig, tho.Ich habe meinen Arsch wirklich gerettet, als jemand in meinen Rockstar-Account eingebrochen ist
Matthew
2017-06-15 14:38:38 UTC
view on stackexchange narkive permalink

Zwei Hauptgründe:

  1. Wenn Ihre Sitzung gefährdet ist (z. B. wenn Sie den Computer verlassen und eine andere Person darauf springt oder eine Sicherheitsanfälligkeit bezüglich einer Remote-Sitzungskompromittierung vorliegt), wird verhindert, dass sich eine andere Person ändert das Kennwort, wodurch Sie von Ihrem eigenen Konto ausgeschlossen werden.
  2. Wenn Sie eine Kennwortänderung erzwingen, können Sie überprüfen, ob das alte und das neue Kennwort nicht übereinstimmen, ohne das alte Kennwort in a speichern zu müssen Wiederherstellbares Formular - Sie können es überprüfen und dann überprüfen, ob das neue Formular nicht dasselbe ist, selbst bei vollständig gesalzenen Kennwort-Hashes. Während Sie genaue Übereinstimmungen nur mit dem Hash überprüfen können, sind keine Überprüfungen wie "Sicherstellen, dass das neue Kennwort nicht das alte Kennwort mit der letzten um eins erhöhten Ziffer ist" zulässig, die manchmal von sensibleren Anwendungen ol>
Ich habe auch einen Gedanken, wenn meine Sitzung beeinträchtigt ist. Sofern die E-Mail-Adresse und die sekundären Fragen des Benutzers nicht auch durch die Kennwortbestätigung gesteuert werden, kann er meine E-Mail-Adresse dennoch ändern. Ich habe viele PHP-Formulare gesehen, bei denen sich die E-Mail-Registerkarte von der Kennwort-Registerkarte unterscheidet.Wie auch immer, danke Matthew.
Diese anderen sensiblen Felder (wie E-Mail) * sollten * tatsächlich mit demselben Sicherheitsmechanismus geschützt werden.Nicht jeder Standort ist so vorsichtig, aber es ist etwas, das getan werden sollte.
Gespeicherte Kennwörter werden häufig auf der Anmeldeseite vorab ausgefüllt, auf der Seite zum Zurücksetzen des Kennworts jedoch seltener. Daher muss ein Benutzer das alte Kennwort explizit kennen, anstatt es nur zu speichern.
Ich habe mehr als eine Site gefunden, die einen Weg gefunden hat, die von einigen Browsern angebotene Vorfüllfunktion zu deaktivieren.Herausgefunden oder Glück gehabt.:-)
@Matthew Sie können dies sogar tun, indem Sie das neue Passwort verwenden, eine letzte Ziffer * dekrementieren * und prüfen, ob es sich um das alte Passwort handelt. Für einige Überprüfungen kann es jedoch praktisch sein, ein altes und ein neues Passwort zu haben.
@WGroleau Ich habe eine Erweiterung gefunden, die mindestens eine der Möglichkeiten vereitelt, die einige Websites zum Deaktivieren der Vorfüllfunktion herausgefunden haben.(Falls Sie denken, dass ich meine Anmeldeinformationen der Erweiterung zur Verfügung stelle: Sie müssen lediglich den HTML-Code auf ein Attribut überprüfen, das dem Browser mitteilt, dass dieses Feld in den Feldern für Benutzername und Kennwort nicht automatisch ausgefüllt wird, und dieses Attribut entfernenwenn gefunden.)
Wenn Sie den Quellcode nicht studiert haben, wissen Sie nicht, ob eine Erweiterung Sie ausspioniert.
@WGroleau> Das Generieren einer vollständig zufälligen ID / eines völlig zufälligen Namens für das Feld deaktiviert normalerweise das Vorfüllen (der Browser passt es keinem bekannten Feld an), fwiw.
@DavidConrad (1) Die Überprüfung auf Hamming-Entfernungen von 1 oder 2 wird durch Hashing nicht wesentlich verlangsamt.und (2) wenn Sie nicht möchten, dass Benutzer ähnliche Kennwörter auswählen, ändern sie diese anscheinend nicht freiwillig: Das Erzwingen von Kennwortänderungen wird nicht empfohlen (siehe NIST-Empfehlung, eine Microsoft-Studie aus dem Jahr 2008 oder so, und allgemeines Wissen darüber, wasArt von Passwörtern, die Menschen bei solchen Ereignissen wählen).
@Luc Ich habe lediglich darauf hingewiesen, dass dies möglich ist, und nicht vorgeschlagen, auf ähnliche Passwörter zu testen, und ich habe auch nicht befürwortet, Passwortänderungen zu erzwingen.
@MatthieuM.Durch Vergleichen von Hashes können Sie nicht feststellen, dass das alte Passwort eines Benutzers Passwort1 und sein neues Passwort2 war.Wie Matthew erwähnt hat, können Sie mit dem alten Passwort das neue Passwort mit allgemeinen Permutationen vergleichen, die das neue Passwort weniger sicher machen würden, wenn das alte kompromittiert wird
@GroundZero: Nun, Matthew hat die Fuzzy-Übereinstimmungen * nach * meinem Kommentar erwähnt. Ich denke, das bedeutet, dass ich sie jetzt entfernen kann, da sie berücksichtigt wurden.In der Tat stimme ich zu, dass es eine gute Idee ist, zu überprüfen, ob sich die beiden Passwörter erheblich unterscheiden.
@WGroleau Es ist erwähnenswert, dass man die Quelle auf Ihrem lokalen Gerät lesen muss, nicht die öffentliche Quelle im Netz, da es keine Garantie dafür gibt, dass das tatsächlich installiert ist
Wahr.Man müsste die gelesene Quelle kompilieren, um sicherzugehen, was installiert ist.Und selbst dann sind Sie nicht 100% sicher: https://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a
Spencer Joplin
2017-06-16 02:23:34 UTC
view on stackexchange narkive permalink

Um die anderen Antworten zu ergänzen, füge ich hinzu, um zu bestätigen, dass die Tastatur wie vom Benutzer beabsichtigt funktioniert.

Die Feststelltaste kann den Fall umkehren, und die Num-Sperre kann Ändern Sie, ob Sie z Eine "4" auf der Tastatur bewegt stattdessen den Cursor nach links. Einige Schnittstellen zeigen eine Warnung an, viele jedoch nicht.

Die meisten Betriebssysteme verfügen über Software-Tastaturlayouts. Die korrekte Eingabe Ihres alten Passworts ist ein guter Beweis dafür, dass Sie beabsichtigen, das aktuelle Layout zu verwenden.

Ich habe auch festgestellt, dass einzelne Schlüssel nicht mehr funktionieren, was zu Frustration führt, wenn Sie Fehler beheben, warum Sie dies nicht können Melden Sie sich über eine andere Tastatur an.

"Ich habe auch festgestellt, dass einzelne Tasten nicht mehr funktionieren, was zu Frustration führt, wenn Sie Fehler beheben, warum Sie sich nicht über eine andere Tastatur anmelden können."Sie meinen, Sie haben das Passwort einer defekten Tastatur * festgelegt * und konnten sich dann nicht bei einer anderen Tastatur anmelden?: D Wow, das ist eigentlich ein wirklich interessantes Szenario.
@Wildcard Ich hatte einmal eine Situation, in der sich das Layout meiner Tastatur zwischen der Einrichtung des Passworts und der anschließenden Anmeldung änderte.Stellen Sie sich vor, Sie beheben diese Probleme in Situationen, in denen Sie das Kennwort nicht im Klartext lesen können.Es war ein Windows-Login und das Tastaturlayout meines Benutzers war anders als das des Betriebssystems.
Steam hatte (hat?) Ein Problem mit dem Big Picture-Modus und einigen Controllern, bei denen einige der auf der Benutzeroberfläche angezeigten Tasten nicht mit den tatsächlich eingegebenen Tasten übereinstimmen, wenn diese Controller-Taste gedrückt wird.Wenn Sie also einen Passcode mit einer Tastatur festlegen, können Sie ihn möglicherweise nicht auf einem Controller eingeben und umgekehrt.
Sarah G.
2017-06-15 14:51:20 UTC
view on stackexchange narkive permalink

Ich denke, dass die Bestätigung des alten Passworts Ihnen nicht hilft, Ihr Konto zu sichern, falls Sie Ihr Passwort verloren haben. Es ist jedoch sinnvoll, wenn niemand Ihr Passwort gestohlen hat, da dadurch sichergestellt wird, dass Sie der einzige sind, der Ihr Passwort ändern kann (da nur Sie Ihr Passwort kennen). Zum Beispiel kennt niemand Ihr Facebook-Passwort, aber Sie haben sich bereits mit Ihrem Konto auf Ihrem Handy bei Facebook angemeldet, und dann leiht Ihr Freund Ihr Handy aus. Wenn er / sie Ihr Passwort ändern möchte, ist dies ohne Kenntnis Ihres aktuellen Passworts nicht möglich.

Nun, sie könnten einfach das Passwort zurücksetzen und Ihre E-Mail öffnen, aber die Idee ist richtig.
Dies ist ein Betrug von # 1 in [dieser Antwort] (https://security.stackexchange.com/a/162024/125213) oben.
Es sei denn, es ist Ihr Skype-Konto und Sie haben Ihr Passwort verloren.Dann bist du nur geschraubt.(Sie können das Skype-Konto weiterhin auf den Geräten verwenden, auf denen Sie angemeldet sind. Sobald diese veraltet sind und nicht mehr unterstützt werden, sind Sie für immer gesperrt.) (Das Zurücksetzen des Skype-Passworts kann kaum genehmigt werden.)
i--
2017-06-20 13:36:04 UTC
view on stackexchange narkive permalink

Dies soll Ihnen helfen, das Konto bei sich zu behalten.

Einige Szenarien

  1. Ihr Cookie wird von jemandem über eine Middleware oder auf andere Weise gestohlen Wenn Sie von der Site nicht zur Eingabe eines alten Kennworts aufgefordert wurden, können sie die Kennwort- und Wiederherstellungs-E-Mail ändern, und das Konto gehört Ihnen nicht mehr.

  2. Wenn jemand Zugriff auf Ihr System hat, bei dem Sie sich angemeldet haben, kann er das Kennwort und dann die Wiederherstellungs-E-Mail ändern, und das Konto gehört Ihnen nicht mehr.

    3. ol>
freb
2020-08-16 21:58:00 UTC
view on stackexchange narkive permalink

CSRF-Schutz (Cross-Site Request Forgery). Dies ist wahrscheinlich nicht der Hauptgrund, aber Websites, die ansonsten keinen CSRF-Schutz verwenden, aber zufällig das alte Kennwort für Kennwortänderungen benötigen, haben mindestens diese eine Anforderung vor CSRF-Angriffen geschützt.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...