web-dev-qa-db-ja.com

間違ったサイトでパスワードを入力した場合、それが危険にさらされていると考える必要がありますか?

私は最近、パスワードマネージャーと適切なパスワードプラクティスを利用し始めました。使用するサイトごとに異なるパスワードを持っています。

Webページにログインするときに別のサイトのパスワードを誤って使用した場合、パスワードが危険にさらされていると考えて変更する必要がありますか?

例えば。

  • Www.example.comのパスワードがpasswordOneの場合
  • そして、www.ejemplo.comの私のパスワードはcontraseñaUnoでした
  • そして、誤ってwww.example.comにパスワードcontraseñaUnoでログインしようとしています

Www.ejemplo.comのパスワードを更新する必要がありますか?

似ているが異なる質問 here が表示されますが、それはユーザー名フィールドに入力されているパスワードに関連しています。

passwordspassword-managementpassphrase
76
JonnyWizz

悪魔の擁護者を演じるためだけに...

両方のサイトで同じパスワードを使用しているかのように危険にさらされる可能性があります*。

ほとんどの人が指摘しているように、あなたはおそらく心配する必要はありません。ウェブサイトが良いパスワードと間違ったパスワードを区別できないためではなく、アクセスするほとんどのウェブサイトがパスワードを記録しない可能性が高いためです。その理由は、それが彼らに価値を提供しないというだけです。ほとんどのWebサイトは合法的なビジネスを行うために存在するため、入力されたすべてのパスワードを記録することによって悪意があることに価値はありません。

それでも、私が悪意を持って多くの考えられるパスワードを収集したい場合、パスワードを収集するためにサービスをオンラインでホストすることは、考えられるすべての組み合わせを強引に試みるよりも、おそらくより良い選択肢でしょう。そのような「サービス」をホストしている場合、すべてのパスワードをキャッチすることは、たとえ悪いパスワードであっても、悪い考えではありません。複数のパスワードを持っているユーザーは、間違ったサイトで間違ったパスワードを入力する可能性が非常に高いため、不正な試行だけでなく不正な試行も記録することは、優れた攻撃計画です。

たとえば、この引用文を https://howsecureismypassword.net/ から考えてみましょう。

このサイトはパスワードを盗む可能性があります…そうではありませんが、簡単に盗まれる可能性があります。
パスワードを入力する場所には注意してください。

それは物事を視点に置きます。また、そのような邪悪な「サービス」はそんなにありそうもないのでしょうか?言うのは難しいですが、確かに新しいことではありません: https://xkcd.com/792/

注*:まあ、私は「可能性が高い」とは言っていましたが、正確には当てはまりません。多くのサイトで同じパスワードを使用すると、悪意のあるサイトに対して脆弱になるだけでなく、サイト所有者の無能さに対​​しても脆弱になります。多くのWebサイトは依然としてデータベースにプレーンテキストでパスワードを保存しているか、弱いハッシュを使用しています。これは、攻撃者がデータベースを盗むことができる場合、パスワードが侵害されることを意味します。

49
Gudradain

あなたはおそらく大丈夫です-正しいサイトの間違ったパスワードと間違ったサイトの正しいパスワードの間に特別な区別はありません。たとえあったとしても、間違ったパスワードを受け取ったサイトは、それがどのサイトで使用されることになっていたかを知りません。

そしてそれは、失敗したログイン試行のパスワードをログに記録することは珍しいことだと考える前です。

変更しても害はありませんが、他のサイトの名前をパスワードとして使用しない限り、誰もその情報を利用できる可能性は低いと思われます。

37
Matthew

ほとんどの正気なWeb開発者は、失敗したパスワード試行のクリアテキストバージョンをログに記録しないと思いますが、それでも可能です。安全を確保したい場合は、セキュリティが侵害されていると見なして、そのパスワードをリセットできます。ただし、個人的には、最初のサイトが私にリスクをもたらす可能性があるという合理的な疑いを超えない限り、それを問題とは見なしません。

26
d0nut

このパスワードを変更する唯一のケースは、保護するサイトの方が、入力したサイトよりもはるかに重要である場合です。

たとえば、国の俳優が興味を持つシステムにアクセスできる人が世界中にいます。これらの人が他のサイトに重要なパスワードを入力した場合、すぐに変更する必要があります。

19
kd8azz

パスワードを危険にさらしたものとして扱う。誰もあなたにそれを保証することはできません

  • サイトには不正なシステム管理者はいません。
  • サイトにはハッシュ化または暗号化されたパスワードがあります。
  • ユーザー名/電子メール/パスワードなどのデータを取得できるsqlインジェクションの脆弱性はありません。
  • このデータにアクセスする人はだれでも他のいくつかのサイトへの侵入を敢えてテストし、あなたは彼らがその1つに当たるほど運が悪いでしょう。

上記のいずれかまたはすべてが当てはまる可能性がほとんどない限り、パスワードは危険にさらされています。

経験則として、パスワードはなくなり、パスワードは無効になります。それを変えて寝なさい。

もう1つの異なる履歴は、何も保護しないパスワード(つまり、空のブログ、役に立たない電子メールアカウントなど)または銀行口座を変更する時間を実際に失いたいかどうかです。

9
null_pointer

「妥協」という用語は、バイナリの「はい」または「いいえ」ではありません。誰がアカウントにアクセスできるか、そして彼らの目標があなたの目標とどの程度対照的であるかを測定するその概念。

この場合、www.example.comへのログインにアクセスした可能性のある誰かがあなたのパスワードを持っていると想定します。これには、www.example.comをハッキングしたすべてのユーザーと、www.example.comのリーダーシップがユーザーからパスワードを取得するために十分なアクセス権を持っていると信頼するすべての従業員が含まれます(たぶん一握りのDBA)。

それがすべてのデータです。そこから行きます。フォーラムで機密情報を保護するために使用されたパスワードを使用した場合、そのレベルの露出はそのような特権アカウントでは受け入れられないため、すぐに危険にさらされたものとして扱う必要があります。あるフォーラムのパスワードを別のフォーラムで使用した場合、おそらく最大の取引ではありません。

途中で、フォーラムで銀行口座のパスワードを使用したケースを検討するかもしれません。これは、個人の脅威モデルに完全に依存する灰色の領域です。

7
Cort Ammon

  • サイト(その背後にいる人物)が悪意のあるものである場合、失敗したパスワードは、あなたが知っているもののリストに追加され、知っている他のすべてのアカウントでそれを試す戦術を確実に検討します。このように、あなたはそれが危険にさらされていると考えるべきです。

  • サイトが無能である場合、それは何らかの理由で失敗したパスワードを漏らす可能性があります。しかし、これを行うと、独自のパスワードのわずかなタイプミスlotもリークします。したがって、それは本当にかなり無能でなければなりません。

  • サイトが基本的に正常である場合、問題はありません。失敗したパスワード(またはハッシュされたソルトされたレコード以外の成功したパスワード)の記録は保持されません。

自身が侵害されているサイトは、悪意があると合理的に見なすことができることに注意してください。

したがって、それらが非常に悪質であるか、非常に無能であるか、非常にハッキングされているリスクと、パスワードが変更されることによるコストに対する、パスワードが侵害されることに関連するコストとのバランスを考慮する必要があります。

リスクが重大であると思われる場合は、パスワードを変更してください。これは通常、パスワードマネージャーを使用すると非常に簡単です。新しいパスワードマネージャーを習得する必要はありません。ただし、ほとんどのWebサイトはほとんどの場合「基本的に通常」であるので、あなたの努力はほとんど不要です。

間違いの原因についても慎重に検討する必要があります。資格情報を「間違ったサイト」に入力したという事実は理解可能な間違いですが、体系的に系統的に身元を正しく確認していないことを確認してください資格情報を入力する前のサイトの数、またはそうでなければあなたはそこで脆弱です。

7
Steve Jessop

WebサイトAのパスワードをWebサイトBに入力した場合、

いくつかの側面を検討してください-Web Bはどの程度信頼されていますかWeb Bは市場の基準に準拠している有名な企業ですか? Web Aのコンテンツは本当に脆弱ですか?パスワードからウェブサイトが属するウェブサイトを推測する方法はありますか?

これらの質問で混乱している場合は、変更してください。

WebManager/SysAdminがパスワードをRawテキストまたはDecodable暗号化としてサーバーに保存しているかどうか、または一方向ハッシュによってパスワードを保護しているかどうかは決してわかりません。

2
Shubhradeep Mallik

間違ったパスワードを入力したサイトはfacebook.comでしたか?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard-crimson-2010-

マークは自分のサイトTheFacebook.comを使用して、クリムゾンのメンバーであると名乗ったサイトのメンバーを調べました。次に、失敗したログインのログを調べて、クリムゾンメンバーのいずれかがTheFacebook.comに誤ったパスワードを入力したことがないかどうかを確認しました。ログインしたケースがログインに失敗した場合、マークはそれらを使用してクリムゾンメンバーのハーバードメールアカウントにアクセスしようとしました。彼はそのうちの2つにアクセスしました。

1
Adrian Panasiuk

レジェンダリーを装備しましょう[Tinfoil Hat]

Webサイトでパスワードを記録できますか?

Webサイトがハッシュを正しく行ったとしましょう。 Webサイトにログインすると、plaintextパスワードを取得して、保存されているハッシュと比較できます。パスワードがデータベースに保存されているハッシュと一致する場合、認証が可能になります。そうでない場合は、パスワードが無効であることを通知します。

だから何?

anyoneプログラミングの知識が少しあれば、any一種のウェブサイト...それが人気のあるオープンソースのウェブポータル、フォーラム、またはあらゆる種類のパッケージであっても。ソースを変更できる限り、次のように、好きなように変更できます。

private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
    if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
    {
        AuthenticateMyFace();
    }
    else
    {
        Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
        InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
    }
}

実際、プログラマはこれをbeforeの前にハッシュして、パスワードに関係するすべてのことを行うことができます。誰もそれをするのを妨げるものは何もありません。

危機管理

考慮すべきいくつかの質問を次に示します。

  1. どちらのアカウントの整合性も気にしますか?
  2. 同じメールが両方のアカウントで使用されていますか?
  3. 問題のメールとウェブサイトの両方に同じパスワードを使用していますか(できません)。

はいの場合は1〜3の場合、パスワードを変更することをお勧めします。あなたが気にしない限り。

これがあらゆる面で可能であることを示したので、そのような攻撃を恐れる必要がありますか?気にしない。心配な場合は、おそらく KeePass のようなものを使用してWebサイトの資格情報を管理し、合法的に心配する必要はありません。

0
Mark Buffalo