無関係のユーザー名/パスワードを使用してWebサイトに誤ってアクセスしようとした場合、ログオンデータが記録されますか?
私はauto-typeでKeePassを使用しています。たまに(疲れたときなど)、同じ名前のエントリのURLを誤って起動し、間違ったU/Pでログオンしようとします。 この質問はKeePass自体には関係ありません。
ログオンの試みが「間違った」サイトによって記録およびログ記録され、サイト管理者が悪用する可能性のある無関係のログオンを確認できるようになるのかと思います。
フィッシングサイトは、まさにこれを実行するように設定されている可能性があります。
悪意のないサイトでは、これは一般的に不適切な慣行と見なされますが、ユーザーのプライバシー規制を超えて、そうすることができない理由はありません。
ここでの一般的な答えはpasswordsは通常、正当なサービスによってログに記録されないことだと思います。ユーザー名は確かです。
「正しい」サイトであっても、パスワードを記録することは問題です。サービスはあなたのパスワードが何であるかを知らないはずです。そのため、パスワードを保存するために使用されるいくつかの複雑なプロセスがあります。私は、パスワードが記録されている非常にうまく設計されていないシステムをいくつか見ましたが、これは設計のエラー/無能です。
一方、悪意のあるWebサイトは、ユーザー名とパスワードを記録します。ユーザーがそれらを知り、悪用するためです。
正当なウェブサイトはむしろそれをしません。
次に、可能性があります:
- 侵害されているサイト
- サイトは無能な人々(決して過小評価しないでください...)によって運営されており、データを収集し、将来的に危険にさらされます。
- ブルートフォースまたは同様の攻撃を分析および防止するために、失敗したログインのデータを収集するサイト。 「一部のデータ」にはおそらくログイン名が含まれ、パスワード、パスワードの一部、またはパスワードのハッシュが含まれる場合と含まれない場合があり、ハッシュは強力な場合とそうでない場合があります。
これは、許可が拒否されたことを返すため、Webサイトでエラーとして記録される可能性があります。多くのWebサイトは、ある種のファイアウォールまたは保護機能を通過し、ブルートフォースログインなどの試みをブロックして、失敗したものをピックアップする可能性があります。
(侵害されていない)Webサイトが、失敗したログイン試行のパスワード、またはハッシュ化されていない/プレーンテキストのパスワードを保存していることを知って、私はかなりショックを受けます。
故意に悪意のあるWebサイトを無視すると、偶発的に発生したり、放置されたりする可能性があります。 Twitterを紹介します: https://www.theverge.com/2018/5/3/17316684/Twitter-password-bug-security-flaw-exposed-change-now
2018年5月3日
Twitterによると、このバグは、ハッシュシステムのパスワードをTwitterのシステムに保存されるランダムな文字列に置き換えることでパスワードをマスクする問題が原因で発生したとのことです。しかし、システムのエラーが原因で、パスワードはハッシュプロセスでマスクするのではなく、プレーンテキストで内部ログに保存されていたようです。 Twitterはバグを独自に発見し、パスワードを削除したと主張している。同様の問題が二度と発生しないようにしています。
前のジョブでは、インターネット接続の認証に使用されるRADIUSサーバーに失敗した資格情報を記録しました。これは便利でした。お客様のパスワードをルーターが送信しているものにリセットしたり、ユーザー名によって資格情報が別のISPからのものであるかどうかを確認したりできます。
私の要点は、ロギングの失敗が役立つ場合がある(「おばあちゃんが再びCaps-Lockをオンにした」)しかし、これは10年前でしたが、規則や規制は進んでいます。
とにかく、サービスごとに異なるパスワードを使用していますか?そのため、その1つのサイトにアクセスし、漏洩したと思われる1つのパスワードを変更します。すべてのデフォルトのパスワードである場合は、さらに多くの作業が必要です。
彼らはそうすべきではありませんが、セキュリティ対策として、使用されたパスワードが危険にさらされていると見なして変更することをお勧めします。
結局のところ、家の鍵のセットを紛失した場合、ロックを交換する心配が減るのではないでしょうか。