Frage:
Sind teilweise eingegebene Passwörter ein potenzielles Sicherheitsrisiko?
DasBeasto
2016-01-28 20:28:57 UTC
view on stackexchange narkive permalink

Ich setzte mich einfach an meinen Arbeitscomputer und begann ihn durch Eingabe meines Passworts zu entsperren. Ich bekam 6 der 8 Zeichen und entschied, dass ich Kaffee wollte und ging weg, um ihn zu bekommen. Ich bin zurückgekommen, habe festgestellt, dass ich den größten Teil des Passworts eingegeben, die verbleibenden zwei Zeichen eingegeben und mich angemeldet habe. Besteht aus reiner Neugier ein Sicherheitsrisiko darin?

Meine Gedanken sind es in den meisten Fällen Dies wäre nicht problematisch, da ein Angreifer einen Versuch unternimmt, bevor er zurückgesetzt wird, und er von vorne beginnen muss. Ich nehme jedoch an, dass der Angreifer mindestens weiß, dass Ihr Passwort mindestens so viele Zeichen lang ist (vorausgesetzt, Sie haben es richtig eingegeben), dass er einen Vorteil für zukünftige Angriffe hat. Gibt es vielleicht eine Möglichkeit, den in das Anmeldefeld eingegebenen Text abzurufen oder den Status zu speichern, damit Sie von diesem teilweise abgeschlossenen Punkt aus erneut versuchen können? Was wäre, wenn dies ein Webseiten-Login im Gegensatz zu einer Desktop-App wäre?

Beeindruckend. Ich hatte heute das gleiche! Aber ich loggte mich lieber ein und ließ den Kaffee für später.
Ein 8-stelliges Passwort ist bereits nicht sehr sicher und wenn es jemandem gelungen ist, Ihren Passwort-Hash zu stehlen, würde es nicht lange dauern, ihn brutal zu erzwingen.
@Johnny 8 vollständig zufällig druckbare ASCII-Zeichen sind 51 Bit Entropie. Das ist ziemlich sicher.
Sieben antworten:
Mark Buffalo
2016-01-28 20:41:16 UTC
view on stackexchange narkive permalink

Unternehmensspionage ist eine Sache.

Es besteht ein Sicherheitsrisiko, wenn jemand gesehen hat, dass Sie Ihr Passwort eingegeben haben, oder die letzten beiden Zeichen erraten hat. Es ist nicht allzu schwierig, die Tastenanschläge von Personen zu bemerken und sich unbewusst an sie zu erinnern, insbesondere an die letzten Tasten.

Im Fall von Unternehmensspionage möchte jemand vielleicht zusehen, wie Sie Ihr Passwort eingeben, und sie erinnern sich möglicherweise daran.

oder speichern Sie den Status, damit Sie von diesem teilweise abgeschlossenen Punkt aus erneut versuchen können?

Sie müssen zugeben, dass dies unter den gegebenen Umständen wie ein Alufolienhut der nächsten Stufe erscheint. Ich kann mir nur vorstellen, wie ein Mann in einem grauen Anzug auf Ihren Desktop zugeht, nach Ihrer virtuellen Maschine mit mehr als 20 GB und den dazugehörigen Konfigurationsdaten innerhalb weniger Minuten sucht und sie dann in eine heruntergekommene Kabine in der Ecke des Büros bringt wahnsinnig brutal, während manisch gackert:

Dr. Evil laughing while brute-forcing OP

Lassen Sie uns die Folie für eine Sekunde abnehmen. Wenn Sie eine virtuelle Maschine ausführen, ist dies durchaus möglich. Sie können den Status der virtuellen Maschine zu diesem Zeitpunkt speichern und es weiter versuchen. Die Wahrscheinlichkeit, dass Ihnen dies während einer Kaffeepause passiert, ist so gut wie Null. Gleiches gilt für den App-Status, nur nicht so unwahrscheinlich wie bei einer virtuellen Maschine.

Bei der virtuellen Maschine müsste ein Kollege den Inhalt Ihrer virtuellen Festplatte sowie die zugehörigen Einstellungen kopieren und bereitstellen. Höchstwahrscheinlich wären dies mehr als 20 GB. Das Kopieren dieses virtuellen Laufwerks in so kurzer Zeit, während andere Personen in der Nähe sind, scheint ziemlich unwahrscheinlich.

Jemand wird etwas bemerken.

Was wäre, wenn dies eine Webseitenanmeldung im Gegensatz zu einer Desktop-App wäre?

Setzen wir unsere Alufolienhüte auf und sehen, was wir tun können, um das teilweise eingegebene Passwort mit nur leicht verfügbaren Tools abzurufen. Versetzen Sie sich in die Lage des Angreifers: Wie würden Sie schnell das Passwort erhalten, bevor die Kaffeepause vorbei ist?

  1. Mit der Entwicklerkonsole können Sie die Webseite ändern, um dies zu ändern: 

      <input type = "password" name = "pass" id = "password" / >

    Dazu: 

      <input type = "text" name = "pass" id = "password" / >

    (jQuery wurde entfernt, wie von Doyle Lewis vorgeschlagen)

  2. Wir können die Werte auch über die Konsoleneingabe abrufen: Sie können eine Variation davon verwenden ( F12 > Konsole > Eingabe eingeben ):

    • console.log ($ (" #password "). val ()); (jQuery)
    3. console.log (this.pass.val);
  3. console.log (document.getElementById ("password"). value); (dom)

  4. Anscheinend Windows 8 und Windows 10 Enterprise verfügt über ein "Auge" -Symbol, mit dem Sie das Klartextkennwort anzeigen können, wenn Sie die Augen-Taste gedrückt halten. Dies wird zu einer noch größeren Bedrohung, wenn jemand anderes nur auf diese eine Schaltfläche klicken kann, um den in den obigen Beispielen verwendeten Aufwand zu umgehen.

    5. ol>

    Aber warum sollte das so sein? Ein potenzielles Sicherheitsrisiko?

    Rüsten Sie unseren [Tinfoil Hat (Mythic Warforged)] kbd> neu aus. Nehmen wir ein Worst-Case-Szenario an:

    Mit Ihrem Benutzernamen und Kennwort In einer Unternehmensumgebung, in der es definitiv nicht schwierig ist, Ihren Benutzernamen (normalerweise Ihre Ausweis-ID oder Ihren E-Mail-Benutzernamen) zu finden, kann ein böswilliger Kollege versuchen, sich im Netzwerk auszugeben. Beispiel:

    1. Ihr Unternehmen verfügt über WLAN-Zugang, für den die Anmeldenummer und das Kennwort Ihres Mitarbeiters erforderlich sind.
    2. Böswilliger Kollege meldet sich mit Ihren Anmeldeinformationen im Unternehmensnetzwerk an auf einem nicht autorisierten Gerät und verursacht dann Chaos / stiehlt Dinge, ohne dass dies zu ihnen zurückführt. Die meisten Sicherheitsrichtlinien sollten zuerst eine Geräteregistrierung erfordern, aber es gibt leider Möglichkeiten, dies zu umgehen.
    3. Sie werden beschuldigt. Es sieht so aus, als hättest du es getan. Und der Spion, der die Dinge vermasselt hat, kann ungeschoren davonkommen.
      4. ol>

      Wie schütze ich mich davor?

      Genau das Unwahrscheinliche, aber mögliche Angriffe und viele andere Angriffe, die physischen Zugriff auf Ihren Computer erfordern (ohne hardwarebasierte Infektionen), werden vollständig gemindert, indem Sie Ihre Workstation vor dem Aufstehen sperren und keine Teilkennwörter eingeben. Machen Sie es sich zur Gewohnheit und Sie müssen sich keine Sorgen machen, dass jemand so etwas tut.

      Werden Sie jedoch nicht selbstgefällig.

+1 für eine gute und genaue Alufolien-Hutmacherei, aber ich denke, es ist erwähnenswert, dass die Wahrscheinlichkeit eines solchen Angriffs während einer außerplanmäßigen Kaffeepause unwahrscheinlich ist.
@DavidGrinberg Ja, ich stimme zu. Ich möchte nur zeigen, dass es möglich ist. : p
@DavidGrinberg warum ist das so? Ich bin sicher in der Lage, die Zeile `console.log (document.getElementsById (" Passwort "). Value);` unter 30 Sekunden zu produzieren. Wie lange dauern Ihre Kaffeepausen, wenn Sie dies für unwahrscheinlich halten?
@DmitryGrigoryev Da Sie mich genau im richtigen Moment beobachten müssen, gehen Sie zu meinem Computer und führen Sie diesen Code aus, ohne dass jemand Fragen stellt. Es ist absolut möglich und ich bin sicher, dass verrücktere Dinge passiert sind, es ist einfach unwahrscheinlich und sollte nicht Ihr Hauptanliegen sein.
@DmitryGrigoryev Das wäre "getElementById ()" oder "getElementsByClassName ()". IDs sollen eindeutig sein, Klassen hingegen nicht. Nur Nitpicking: p
Wirklich, Sie machen die Dinge mit Entwicklungswerkzeugen zu schwierig. Doppelklicken Sie einfach im Eingabetyp auf "Passwort" und ändern Sie es in "Text". Das ist der schnellste / einfachste Weg
@DoyleLewis Das ist eine wirklich gute Idee. Lassen Sie mich das hinzufügen. Ich werde es dir gutschreiben.
Dies funktioniert auch, um gespeicherte Passwörter in einem Browser anzuzeigen. Dies ist nur ein weiterer Grund, Passwortmanager zu verwenden, anstatt sie vom Browser für Sie speichern zu lassen.
Zusätzlicher Hinweis zum Entsperren eines Desktops: Neben dem Kennwortfeld (auf Windows-Systemen) befindet sich ein "Auge", das gedrückt werden kann, um das Kennwort im Klartext anzuzeigen. Auf diese Weise kann ein großer Teil Ihres Passworts angezeigt werden. Selbst wenn ein Angreifer die Kennwortlänge nicht kennt, wurde die Länge Ihres Kennworts erheblich verkürzt. Und da die meisten Passwörter 8 Zeichen lang sind (da die Mindestlänge für die PW-Länge 8 Zeichen beträgt), besteht eine große Chance, dass der Angreifer nur 2 weitere Zeichen brutal erzwingen muss.
@GroundZero Ganz zu schweigen davon, dass die letzten beiden Zeichen leicht zu erraten sind. Der Angreifer müsste jedoch in allen Fällen die richtige Länge kennen.
Sehr ausführliche Antwort danke! Ich denke, Sie haben alle möglichen Grundlagen abgedeckt
@GroundZero Außerdem scheint dieses "Auge" unter Enterprise-Versionen von Windows nicht verfügbar zu sein, zumindest nicht unter Windows 7. Vermutlich würde OP eine Enterprise-Edition verwenden.
Oder verwenden Sie ein Dvorak-Layout.
Kurzer Hinweis zu "Sperren Sie Ihre Workstation" - in diesem Fall war die Workstation bereits gesperrt und er gab das Kennwort zum Entsperren ein. Es gibt keine Möglichkeit, es weiter zu sperren, und Windows + L löscht das Teilkennwort nicht. Sie müssten die Rücktaste manuell verwenden. Ansonsten tolle Antwort!
@thunderblaster Stimmt, aber er fragte auch nach Web-Anmeldeformularen. Ein sichtbares Web-Anmeldeformular * impliziert *, dass die Workstation in diesem Fall entsperrt ist. Ich habe diesen Leckerbissen wegen dieser speziellen Frage hinzugefügt.
@GroundZero, wie Mark in diesem speziellen Fall sagte, verwende ich Enterprise, daher gibt es kein Auge, aber das ist ein gültiger Punkt für andere Szenarien
Vor Jahren habe ich das eigentlich absichtlich gemacht - ich habe immer den Bildschirm gesperrt und den ersten Buchstaben des Passworts eingegeben, wenn ich abends das Büro verlassen habe. Am nächsten Morgen habe ich nur den Rest des (ausreichend langen) Passworts eingegeben. Die Idee war herauszufinden, ob jemand versucht hat, Passwörter zu erraten.
Mit der virtuellen Maschine ist das Teilkennwort jemand im Speicher.
@PyRulez Das ist richtig. Ich habe das hier als Antwort auf Steve DL behandelt. Dies ist jedoch ein sehr unwahrscheinlicher Angriff, der wahrscheinlich in einem forensischen Sweep aufgedeckt wird: Sie werden die betreffende Malware / das betreffende Programm finden, die diese Art des Speicherlesens ermöglicht. Und es würde eine Weile dauern, es zu finden, viel länger als eine Kaffeepause ... es sei denn, OP steht auf eine Art ausgeflippte mehrstündige Kaffeepausen.
@MarkBuffalo (Zinnfolienhut aufsetzen), was ist, wenn das Computergehäuse entfernt und mit einem Elektronenmikroskop oder Voltmeter gescannt wird?
@PyRulez Dann wurden alle Ihre AOL-CDs mit Büffeln versehen.
@Edheldil. Ich bin neugierig - also kommen Sie am nächsten Morgen herein, sehen, dass bereits ein Zeichen eingegeben wurde, geben den Rest ein und erhalten einen Anmeldefehler. Würden Sie annehmen, dass jemand versucht hat, sich anzumelden, aufgegeben und ein Zeichen wieder eingegeben hat, oder würden Sie annehmen, dass Sie Ihr Passwort nur falsch eingegeben haben?
Nun, es ist damals nicht passiert, also ist es heute schwer, meine Reaktion zu erraten. Normalerweise weiß ich sofort, wann ich während der Passworteingabe einen Tippfehler mache. Wenn ich das so gesehen hätte, wäre ich wahrscheinlich begeistert gewesen, dass mein Verdacht echt war :).
Eigentlich hatte Windows 8 schon das Auge Ding. Es sollte Touchscreen-Benutzern helfen, das Passwort zu sehen. Soweit ich das beurteilen kann, funktioniert es nur mit IE10 +. Man könnte auch einfach `javascript: for (var i = 0, e = document.getElementsByTagName ('input'); i
@Edheldil - Sie haben mir gerade klar gemacht, dass mein Passwort viel zu schwer einzugeben sein muss ... Ich vermassle es wahrscheinlich in mindestens 10% der Fälle.
@GroundZero Dieses Auge verschwindet, wenn Sie die Box abwählen, und existiert nur, wenn Sie die Box auswählen, während sie leer ist. Ich finde das oft ärgerlich, wenn ich mich für Websites registriere, aber aus Sicherheitsgründen sollte das Auge nicht lange da sein.
emory
2016-01-28 22:25:00 UTC
view on stackexchange narkive permalink

Zusätzlich zu den anderen Antworten habe ich während Ihrer Abwesenheit einen Keylogger auf Ihrer Tastatur installiert.

Kurzfristig habe ich die letzten 2 Zeichen Ihres Passworts. Ich könnte das nutzen, um den Suchraum für einen Brute-Force-Angriff erheblich zu reduzieren.

Aber ich bin faul und ein langfristiger Denker. Ich werde nur warten, bis Sie sich erneut anmelden, und ich werde Ihr vollständiges Passwort haben.

Booga Roo
2016-01-29 05:12:51 UTC
view on stackexchange narkive permalink

Wie in den Kommentaren erwähnt, verfügen einige Windows-Versionen über ein "Augen" -Symbol, auf das geklickt werden kann, um anzuzeigen, was Sie in das Kennwortfeld eingegeben haben.

Wenn Sie sechs Ihrer Zeichen in lassen Im Kennwortfeld für den Sperrbildschirm ist nur ein Klick auf das Auge erforderlich, um den Klartext anzuzeigen. Dies bedeutet nicht, dass der Angreifer weiß, wie lang Ihr Kennwort ist, bedeutet jedoch, dass die Sicherheit Ihres Kennworts beeinträchtigt wird, da die ersten sechs Zeichen verfügbar sind.

Ich kann bestätigen, dass Windows 10 Enterprise tatsächlich dieses Auge hat .

Gut zu wissen über Windows 10 Enterprise. Dies ist eher ein Grund, keine Teilkennwörter in Ihre Anmeldeformulare einzugeben.
Steve Dodier-Lazaro
2016-01-28 20:47:49 UTC
view on stackexchange narkive permalink

Anwendungen speichern intern die Kennwortbits, die Sie bereits eingegeben haben. Einige von ihnen tun dies möglicherweise so, dass ein Angreifer sie abrufen kann. Zum Beispiel haben wir in einer früheren Frage besprochen, wie in Internet Explorer eingegebene Kennwörter von einem Benutzer in die IE-Konsole gedruckt werden können.

Außerdem besteht das Risiko, dass jemand rät die fehlenden Zeichen (wie von @MarkBuffalo hervorgehoben), da viele Passwörter dazu neigen, mit speziellen Symbolen oder Zahlen zu enden (ganz speziell, viele Passwörter enden mit "1"). Wenn Sie zuvor beobachtet wurden oder ein Angreifer bereits über ein Kennwort von Ihnen verfügt, kann er Ihr teilweise eingegebenes Kennwort möglicherweise erfolgreich vervollständigen.

Beeindruckend! Wenn der Angreifer ein Teilkennwort erhalten kann und eine maximale Kennwortlänge von 8 und ein kleiner Satz erforderlicher Zeichen vorhanden sind und der Angreifer bemerkt hat, dass keines der erforderlichen Zeichen im Teilkennwort enthalten ist, ist der Brute-Force-Bereich überhaupt nicht groß .
@SteveDL Eine Art Randfall, aber Sie können ein Programm schreiben, um den gesamten verfügbaren Speicher zu lesen, der von einem bestimmten Programm verwendet wird, und dann nach der vom Benutzer eingegebenen Kennwortzeichenfolge suchen, die im Speicher gespeichert wird. Sie müssten das Passwort im Voraus kennen oder es sehr langsam durch Ausprobieren finden.
@MarkBuffalo in der Tat, wenn Sie dies tun können, befinden Sie sich auf einem unbeschränkten System und können genauso gut einen Keylogger implementieren :-)
@SteveDL Einverstanden, ich mag es einfach, mir seltsame / verschiedene Methoden auszudenken, um Dinge zu tun. : P.
@MarkBuffalo Oder lesen Sie einfach den Zeiger, der Ihnen sagt, wo er sich im Speicher befindet.
Matthew
2016-01-28 20:49:41 UTC
view on stackexchange narkive permalink

Möglicherweise ja. Dies gilt umso mehr, wenn die Leute beobachtet haben, wie Sie es zuvor eingegeben haben, und daher gesehen haben, wo Ihre Finger die Tastatur verlassen.

Bei einem Webformular müssen Sie grundsätzlich davon ausgehen, dass jeder, der die Webseite ändern kann, sie sehen kann Ihr Passwort - entweder indem Sie das Passwortfeld in einen Texttyp ändern, überwachen, welche Zeichen gedrückt werden (JS-Keylogger) oder bei älteren Browsern einfach die Eigenschaften des Passwortfelds im integrierten Inspektor überprüfen (Die meisten modernen Browser scheinen die Anzeige von Inhalten, die in Kennwortfelder eingegeben wurden, aus Sicherheitsgründen einzuschränken, obwohl sie immer noch alles anzeigen, was im value-Attribut gesendet wird, da jeder, der sich die Seitenquelle ansieht, dies sehen kann.

Es bestätigt auch Ihren Benutzernamen - es ist unwahrscheinlich, dass Sie den größten Teil Ihres Passworts im falschen Benutzernamenbildschirm für einen freigegebenen Computer eingeben. Abhängig von Ihrem Setup können dies vertrauliche Informationen sein.

sethmlarson
2016-01-28 20:45:04 UTC
view on stackexchange narkive permalink

Dies hängt mit ziemlicher Sicherheit davon ab, bei was Sie sich angemeldet haben. Wenn es sich beispielsweise um ein Webformular handelt, ist es einfach, Javascript in die Entwicklerkonsole zu schreiben, um den aktuellen Wert des Kennwortfelds abzurufen, ohne Verdacht zu erregen.

Vergleichen Sie dies damit, dass Sie es in Ihren Windows-Anmeldebildschirm eingegeben haben, in dem es keine leicht zugängliche Konsole gibt, auf der Sie Befehle eingeben können, um den Wert zu extrahieren. Das schlimmste Szenario, wenn niemand gesehen hat, dass Sie den ersten Teil Ihres Passworts eingegeben haben, ist, dass jemand sieht, dass Sie die letzten beiden Zeichen unabhängig voneinander eingeben (wahrscheinlich weniger wahrscheinlich, dass sie flüssig eingegeben werden und leichter zu erkennen sind) oder das Passwort versucht, wenn Sie wissen, dass es nur zwei gibt Zeichen, die noch übrig sind (Länge ist die am einfachsten zu ermittelnde Qualität eines Passworts), und wenn sie fehlschlagen, besteht für sie auch ein geringes Risiko.

CorruptedOffset
2016-01-28 22:39:12 UTC
view on stackexchange narkive permalink

Technisch gesehen haben Sie sich und Ihre Kollegen und Arbeitgeber einem Angriffsrisiko ausgesetzt. Die 6 Ziffern allein reichen bereits aus, um sich einen Überblick über das verwendete Format zu verschaffen (wenn das Unternehmen ein Kennwortformat benötigt). Ein Unternehmensspion könnte auch die 6 von 8 anzeigen und nur einen Bruteforce-Angriff einrichten, um nur die letzten 2 zu knacken. Wenn ein potenzieller Angriff jedoch die Kennwortlänge nicht kennt, dauert das Knacken länger, da es sich um so viele Kombinationen handelt.

Sie scheinen davon auszugehen, dass ein Angreifer auf die sechs Zeichen zugreifen kann, die das OP bereits eingegeben hat. Warum nimmst du das an?
Ich gehe davon aus, dass das Passwortfeld Klartext ist und nicht redigiert wird.Abhängig davon, wo das OP die Informationen eingibt (d. H. Einen Webbrowser), kann ein Angreifer die Webseite einfach mithilfe des Inspect-Elements ändern, um die Redaktion zu entfernen und das Kennwortfeld im Klartext anzuzeigen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...