web-dev-qa-db-ja.com

パスワードをほとんど検索しましたが、Enterキーを押しませんでした。オートコンプリートやその他の理由で私のパスワードは危険にさらされていますか?

何も考えずにGoogleの検索バーにパスワードを入力しましたが、Enterキーを押しませんでした。オートコンプリートがオンになっているので、それは私のパスワードがどこかに記録またはインデックスされていることを意味しますか?私のパスワードを変更することは良い考えでしょうか、それとも単なる偏執狂ですか?

70
Randy

私はそれを非常に疑っています。

  • Enterキーを押していませんが、Googleが結果をすばやく表示するために情報を送信することがあります。これはHTTPSを介して強制されます。あなたの情報はおそらく暗号化されており、公開されていません。
  • ほとんどの情報源によると、Googleは1日あたり平均35億回の検索を処理しています。クエリがパスワードであることを証明する追加情報はありません。また、特定のGoogleユーザーの検索クエリを取得するための公開方法もありません。したがって、彼らはGoogleの実際の従業員でなければなりません。 Google内部の従業員がアカウントのパスワードとして検索クエリを試行する可能性はほとんどありません。ほとんどの標準的なGoogleの従業員がそのような識別情報を取得することさえ不可能かもしれません。しかし、もしそうなら、意図的にあなたをターゲットにしたそのようなアクセス権を持つ人の可能性は天文学です。
  • 繰り返しになりますが、それがパスワードであることを証明する追加のコンテキストはありません。クエリでユーザー情報も送信されません。したがって、ユーザーがトラフィックを読み取ることができるMITM攻撃が発生した場合でも、ユーザー名を持っている必要があるのと同じくらい低いと見なします。

99.9%の確率であなたが心配することは何もないと言います。ブリキの帽子をかぶっていたり、神経質なダニがまだいる場合は、パスワードを変更してください。このパスワードを他の場所で使用しない場合は、古いパスワードでログインできるわけではないので、問題はありません。そうでなければ私は先に進み、それについて心配しません。

編集:@reirabは、検索履歴を使用する機能でポップアップするようにできると指摘しました。送信ボタンを押さないと、このようなことが起こるとは思いません。ただし、確認したい場合は Googleで検索履歴をクリアしてください 。これでGoogleのサーバーからクリアされるかどうかはわかりませんが、オートコンプリートにポップアップ表示されないようにする必要があります。

95
Bacon Brad

パスワードの変更をお勧めします。実際には、Enterキーを押さなくても、パスワードがサーバーに送信されています。

自分でテストして、ブラウザを開き、Ctrl + Shift + I、ネットワークを選択して、入力を開始し、トラフィックを監視できます。

キーワード "test"を入力し、Enterキーを押さずにと入力する例を示します

検索クエリを表すqに注意してください:t, te, tes, test、ご覧のとおり、これはキーロガーとほとんど同じです。

enter image description here

44
Mirsad

Googleに送信(暗号化)されました。パスワードを変更してください

それはおそらくどこかに記録されており、多くの検索用語や他のジャンクの人々がそこにタイプした。気になるものやアカウントを危険にさらすものに使用される可能性は低いですが、なぜリスクを負うのですか?単に変更するだけで解決します。

PS:ブラウザの検索バーを使用することをお勧めします無効

25
Ángel

理論的には、パスワードをgoogleに入力するとパスワードがgoogleに送信されるため、パスワードを変更する必要があります。
ただし、Googleはhttpsを使用しています。個人的には、検索でgoogleが自分のパスワードを取得することについて心配する必要はありませんが、それは理想的ではありません。
現実的には大丈夫だと思いますが、完全なセキュリティが必要であれば、パスワードを変更しても問題はありません。

8
Stoud

疑わしいですが、以下を検討してください

  • Google検索への接続は暗号化されています。 Googleの知る限り、Google検索履歴は侵害されていません。 Google検索とウェブ履歴を有効にしている場合、理論的にはアカウントに侵入した誰かが検索履歴にアクセスする可能性があります。 Enterキーを押さなかったと述べました。その場合は、おそらくアカウントに保存されていません。
  • Enterキーを押す前にGoogleが検索候補をログに記録する場合、理論的には、その時点でログインしていた場合、IPアドレスやアカウントにリンクされている可能性があります。あなたのアカウントがタイムリーな方法で情報を求めて裁判所命令された場合、それらが情報を取得し、さまざまなアカウントに対してテストすることができる可能性があります完全なディスク暗号化に対して使用します。これが問題である場合は、問題のパスワードを変更します。
  • 誰かがワイヤレス接続を積極的に攻撃している場合、コンピューターに偽のルートSSL証明書がインストールされている場合、または別の [〜#〜] mitm [〜#〜] 手法を使用している場合、パスワードであると推測され、それを使用して、さらなる攻撃を支援します。

結局のところ、それは2つの要因に依存します。あなたの敵は誰であるか、そしてパスワードはどれほど価値があるかです。もし私があなたの与えられた状況にあったならば、私はおそらく安全のために私のパスワードを変更するでしょう。

6
Nathaniel Suchy

他の人が述べたようにおそらく暗号化されていたとしても、実際のGoogle検索の一部として同じ最初の数文字を入力すると、検索候補として再び表示される可能性があります。それが再び表示された場合、それは ショルダーサーファー の危険にさらされている可能性があります。

そのため、パスワードを変更することをお勧めします。

4
James Bradbury

私はあなたが間違った質問をしていると思います、そしていくつかの編集を提案します。

あなたの質問(「オートコンプリートのため、私のパスワードは危険にさらされていますか?」)は、単一のパスワードを持っていることを意味し、検索エンジンに入力することによる露出の脅威を心配しています。おそらくそれを心配する必要はありませんが、それを入力した1つ以上のサイトが侵害されていることを心配する必要があります。

これらのデータ漏洩は一般的です。それらは、プレーンテキストでパスワードを保存するだけのサイト(RockUが思い浮かぶ)に影響を与え、アシュレイマディソンのようなサイトに影響を与えます。

そのため、多くのサイトで使用しているパスワードが1つしかない場合は、そのパスワードがメールアドレスに関連して漏洩している可能性があります。

パスワードマネージャーの使用をお勧めします。 1Passwordは良い選択だと思います。デバイス間同期を使用してボールトをバックアップしていますが、暗号化されたパスワードもクラウドに保存していません。

1
Adam Shostack

理論的には、はい。パスワードはGoogleに送信されており、他の何十億もの短い文字列とともにどこかに保存されている可能性が高いためです。

実際には、そのパスワードがデータベースから抜ける確率and何らかの方法でそれを使用してアカウントにアクセスしようとする攻撃者に侵入する確率は、他の多くのありふれた攻撃よりも数桁低い常にさらされています。したがって、超高セキュリティシステム(ルートDNSサーバーやルートCA証明書など)を実行していない限り、それを心配するのは不合理です。

実際、パスワードを変更しているときに何かがうまくいかず、ロックアウトされたり、危険にさらされたりする可能性は、危険にさらされる可能性よりも高い可能性があると私は思います。

1