Frage:
Wenn Sie versehentlich versuchen, auf eine Website mit einem nicht verwandten Benutzernamen / Passwort zuzugreifen, zeichnen sie Ihre Anmeldedaten auf?
AntiNoise
2020-03-02 08:05:39 UTC
view on stackexchange narkive permalink

Ich verwende KeePass mit automatischer Eingabe und ab und zu (wenn ich müde bin usw.) starte ich versehentlich die URL eines gleichnamigen Eintrags und versuche, mich mit der falschen U / P anzumelden. Diese Frage hat nichts mit KeePass an sich zu tun.

Ich frage mich nur, ob versuchte Anmeldungen von der "falschen" Site aufgezeichnet und protokolliert werden, sodass Site-Administratoren eine nicht verwandte Anmeldung sehen können was sie missbrauchen könnten.

Ich verstehe die Situation nicht.Was meinst du mit "versucht"?Hast du etwas eingegeben?
Nur um den vorhandenen Antworten einige praktische Ratschläge hinzuzufügen: Es ist am besten, wenn Sie das Passwort ändern, nachdem Sie es auf die falsche Website gestellt haben, oder wenn Sie das Passwort in das Feld Benutzername eingeben, aber es sei denn, es handelt sich um eine Phishing- / Tippfehler-Website, besteht das Risikoist relativ niedrig.Auf jeden Fall empfohlen für wichtigere Konten (z. B. PayPal oder die Anmeldeinformationen Ihres Unternehmens), jedoch auch aus Haftungsgründen.
Für Schroeder: Ja, KeePass Auto-Type (Google seine Funktionalität) hat das U / P eingegeben, aber natürlich hat es nicht funktioniert, weil es die falsche Site war.
Nebenbei bemerkt können Sie das [KeePassXC-Browser-Addon] (https://github.com/keepassxreboot/keepassxc-browser) (für Ihren Browser) verwenden, das entweder mit KeePassXC oder mit KeePass2 + [KeePassNatMsg] (https: //github.com/smorks/keepassnatmsg) Plugin.Dadurch wird das automatische Ausfüllen des Browsers für alle Websites hinzugefügt, die mit der in Ihren Kennworteinträgen angegebenen URL übereinstimmen.Es funktioniert auch sehr gut als Anti-Phishing, da das automatische Ausfüllen nicht auf Websites mit ähnlichen, aber unterschiedlichen Domänen erfolgt.
https://www.businessinsider.com/henry-blodget-okay-but-youve-got-to-admit-the-way-mark-zuckerberg-hacked-into-those-email-accounts-was-pretty-darn-cool-2010-3? utm_source = reddit.com & r = US & IR = T ist das was du meinst?
Wenn Sie sagen, dass Sie Anmeldungen aufzeichnen, meinen Sie damit die Kombination aus Benutzername und Kennwort oder ein Protokoll, das jemand versucht hat, sich zu einem Zeitpunkt von der IP-Adresse aus bei x Benutzername anzumelden?
Passwortmanager, die es einfach machen, Benutzername / Passwort für die falsche Website zu verwenden, sollten gesperrt werden ... Das macht nur einen der Hauptvorteile von Passwortmanagern ungültig ...
Wenn Sie beabsichtigen, einen bestimmten Kommentator anzusprechen, stellen Sie seinem Handle ein "@" voran. Diese werden dann über Ihre Antwort informiert.
Ich habe kostengünstige Websites gesehen, die von Entwicklern mit geringer Qualität entwickelt wurden, um beispielsweise Kennwörter im Klartext zu protokollieren.Sie wären überrascht, wie weit verbreitet diese Art von Versagen ist.
Ich weiß, dass Active Directory dies tut.Das heißt, eine Website, die sich gegen eine authentifiziert, protokolliert Ihr Passwort!
@Luc dies sollte eine Antwort sein, weil es der beste Rat ist
Sieben antworten:
jdow
2020-03-02 08:32:09 UTC
view on stackexchange narkive permalink

Möglicherweise werden Phishing-Sites eingerichtet, um genau dies zu tun.

Auf nicht böswilligen Sites wird dies im Allgemeinen als schlechte Praxis angesehen, aber es gibt keinen Grund, warum dies nicht möglich ist. über die Datenschutzbestimmungen der Benutzer hinaus.

Die DSGVO verbietet es meines Wissens.Andererseits unterliegt nicht jeder der DSGVO (oder hält sich daran).
Um klar zu sein, dies war in keiner Weise eine Phishing-Site, es hat nur einen KeePass-Eintrag, der der Site ähnelt, die ich starten wollte.Beide beziehen sich auf Mietzahlungen und Nebenkosten, aber eine dient nur zur Anzeige (die Site, die ich fälschlicherweise gestartet habe, hat dann die eigentliche Anmeldung der Zahlungssite in ihren Feldern ausgeführt).Ich benenne einen der Einträge um, um die Wahrscheinlichkeit zu verringern, dass dies erneut geschieht.
@AntiNoise Dies ist eine inhärente Gefahr, wenn Sie das einzufügende Kennwort manuell auswählen müssen, anstatt dass der Browser dies automatisch tut.
@MechMK1, Welcher Abschnitt der DSGVO würde dies verbieten?
@Tangurena Benutzername und Passwort können als persönliche Informationen betrachtet werden, und es ist schwierig zu argumentieren, dass Sie die Passwörter von Personen aus legitimen Gründen im Klartext speichern.Ich bin jedoch kein Anwalt, daher weiß ich es nicht genau.Deshalb sagte ich "soweit ich weiß"
schroeder
2020-03-02 14:05:51 UTC
view on stackexchange narkive permalink

Ich denke, die allgemeine Antwort hier ist, dass Passwörter normalerweise nicht von einem legitimen Dienst protokolliert werden. Benutzernamen sind sicherlich.

Das Aufzeichnen von Passwörtern ist selbst für die "richtige" Site ein Problem. Die Dienste sollten nicht wissen, wie Ihre Kennwörter lauten. Aus diesem Grund werden einige komplizierte Prozesse zum Speichern von Kennwörtern verwendet. Ich habe einige sehr schlecht gestaltete Systeme gesehen, in denen Passwörter aufgezeichnet werden, aber dies ist ein Fehler / eine Inkompetenz im Design.

Schädliche Websites zeichnen andererseits Ihren Benutzernamen und Ihre Passwörter auf, weil sie es wissen wollen sie und missbrauchen sie.

Zu beachten ist, dass wenn Sie das Passwort falsch in das Feld Benutzername eingeben, dies protokolliert wird.Ich würde also "Inhalt von Kennwortfeldern" anstelle von "Kennwörtern" sagen, da die Anwendung nicht wissen kann, dass "xunh"% 3nbs "Ihr Kennwort anstelle Ihres Benutzernamens ist.
Sie müssen Kennwörter im Klartext speichern, damit Sie sie an dumme Benutzer senden können, die sie vergessen haben.Während das für einige Websites schlecht ist, werde ich nicht sagen, dass es für alle Websites schlecht ist.Nicht jeder Standort benötigt Fort Knox-Sicherheit.Sicherheit auf Kosten der Benutzerfreundlichkeit geht zu Lasten der Sicherheit.
@Harper-ReinstateMonica und Sie sagen, dass die sichereren Optionen für die Kennwortverwaltung, wenn Benutzer ihr Kennwort vergessen, nicht so verwendbar sind?
@schroeder abhängig von der Site und ihrer Demografie, manchmal ist es richtig.Wohlgemerkt, ich habe nicht sicherer gesagt.
@Harper-ReinstateMonica, der diese Haftung übernimmt, ist nicht "arm-wellig".Ich denke, es gibt einen Kompromiss, der nicht allen Beteiligten Probleme bereiten wird
Lassen Sie uns [diese Diskussion im Chat fortsetzen] (https://chat.stackexchange.com/rooms/105132/discussion-between-harper-reinstate-monica-and-kevin).
fraxinus
2020-03-02 17:54:44 UTC
view on stackexchange narkive permalink

Eine legitime Website wird das lieber nicht tun.

Andererseits gibt es Möglichkeiten:

  1. Die Website wird kompromittiert
  2. Die Website wird kompromittiert Sie werden von inkompetenten Personen betrieben (niemals unterschätzen ...), sammeln die Daten und werden zu einem späteren Zeitpunkt kompromittiert.
  3. Die Site sammelt einige Daten fehlgeschlagener Anmeldungen, um Brute-Force- oder ähnliche Angriffe zu analysieren und zu verhindern . "Einige Daten" enthalten wahrscheinlich Anmeldenamen und können Passwörter, Teile der Passwörter oder Hashes der Passwörter enthalten oder nicht, und der Hash kann stark sein oder nicht.
    4. ol>
JakeInTheMiddle
2020-03-02 19:34:50 UTC
view on stackexchange narkive permalink

Dies wird wahrscheinlich als Fehler auf der Website aufgezeichnet, da die verweigerte Berechtigung zurückgegeben wird. Viele Websites durchlaufen eine Firewall oder einen Schutz, der möglicherweise fehlgeschlagene Versuche aufnimmt, Brute-Force-Anmeldeversuche oder ähnliches zu blockieren.

Ich wäre ziemlich schockiert, wenn ich feststellen würde, dass auf einer (nicht kompromittierten) Website Kennwörter fehlgeschlagener Anmeldeversuche oder überhaupt nicht gehashte / Klartext-Kennwörter gespeichert werden.

Im Gegenteil, ich wäre schockiert, wenn eine Site die Passwörter fehlgeschlagener Anmeldungen nicht speichern würde.Wenn auch nur für ein paar Tage zu statistischen Zwecken.
@Chenmunka, Diese Protokolle würden mit ansonsten gültigen Passwörtern mit einem falsch eingegebenen Zeichen gefüllt.Das ist ein großes Leckrisiko.
@ilkkachu Und / oder mit gültigen Passwörtern für denselben Benutzer, aber für eine andere Site gefüllt.Dies wäre absolut ein schreckliches Risiko sowohl für die betreffende Website als auch für alle Benutzer einzeln.Ich kann mir keinen Anwendungsfall für diese Protokolldaten vorstellen, der einem Ausgleich dieses Risikos nahe kommen würde.
@Chenmunka Wie Ikkachu und Iron Gremlin festgestellt haben, ist dies eine schlechte Idee ™
Hand-E-Food
2020-03-03 05:29:16 UTC
view on stackexchange narkive permalink

Das Ignorieren absichtlich böswilliger Websites kann durch Zufall oder Vernachlässigung geschehen. Ich verweise Sie auf Twitter: https://www.theverge.com/2018/5/3/17316684/twitter-password-bug-security-flaw-exposed-change-now

3. Mai 2018

Laut Twitter trat der Fehler aufgrund eines Problems im Hashing-Prozess auf, bei dem Kennwörter maskiert werden, indem sie durch eine zufällige Zeichenfolge ersetzt werden, die auf dem Twitter-System gespeichert wird . Aufgrund eines Fehlers im System wurden Passwörter anscheinend im Klartext in einem internen Protokoll gespeichert, anstatt sie mit dem Hashing-Prozess zu maskieren. Twitter behauptet, den Fehler selbst gefunden und die Passwörter entfernt zu haben. Es wird sichergestellt, dass ähnliche Probleme nicht erneut auftreten.

Criggie
2020-03-03 07:08:35 UTC
view on stackexchange narkive permalink

In einem früheren Job haben wir fehlgeschlagene Anmeldeinformationen auf einem Radius-Server protokolliert, der zur Authentifizierung von Internetverbindungen verwendet wird. Dies war praktisch. Wir konnten das Passwort des Kunden auf das zurücksetzen, was der Router gesendet hat, oder anhand des Benutzernamens feststellen, ob die Creds von einem anderen ISP stammen.

Mein Punkt ist, dass es manchmal Fälle gibt, in denen Protokollierungsfehler nützlich sind ( "Oma, du hast wieder die Feststelltaste aktiviert") Vor einem Jahrzehnt haben sich jedoch die Regeln und Vorschriften geändert.

Sie verwenden ohnehin ein anderes Passwort pro Dienst, oder? Gehen Sie also zu dieser einen Site und ändern Sie das eine Passwort, von dem Sie glauben, dass es durchgesickert ist. Wenn es Ihr Standardkennwort für alles ist, haben Sie viel mehr zu tun.

KuttKatrea
2020-03-03 10:57:37 UTC
view on stackexchange narkive permalink

Das sollten sie nicht, aber eine gute Sicherheitspraxis wäre es, das verwendete Passwort als kompromittiert zu betrachten und es zu ändern.

Wenn Sie einen Schlüsselsatz für Ihr Zuhause verlieren, würden Sie es schließlich nicht tun weniger besorgt, die Schlösser zu ersetzen?



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...