古いパスワードを入力したことを知らせるのは適切ですか
数日前にFacebookのパスワードを変更しました。今日、私は古いパスワードを慢性的に入力し、このメッセージを見ました:
ごめんなさい!古いパスワードを入力しました
また、パスワードを変更した日時も表示されます。同じネットワーク上でパスワードを変更したかどうかを教えてくれればさらに便利です。
確かに、これはパスワードの変更を忘れたユーザーにとってわかりやすいプロンプトです。しかし、ハッカーが自分のアカウントに侵入したい場合、ハッカーはソーシャルエンジニアリングやその他の方法を使用して自分の情報を取得し、アカウントを制御できます。私の質問は:
- これにより、個人情報が流出したり、ハッカーが利用したりすることはありますか?それは適切ですか?
- ユーザーにメールを送信する方が良いですか?
同じネットワークを使用: 
日本のVPNを使用する: 
私はそれがトレードオフになると思います-攻撃者が古いパスワードを取得し、メッセージを取得し、正当なユーザーにチャネルを取得し、ソーシャルエンジニアリング攻撃を使用して正当なパスワードとリスク/コストを取得するリスクは何ですかユーザーにこのリマインダーが届かず、代わりにテクニカルサポートに連絡したり、リマインダーが役に立ったときにパスワードを強制的にリセットしたりすることに関連しています。
この場合は、リマインダーの利点が追加情報を上回ったことがわかりました。特に、ユーザーの古いパスワードを取得するのは新しいパスワードを取得するのと同じくらい簡単である可能性が高いので、アカウントに侵入するだけでこのメッセージを取得するのに時間をかけるのはなぜですか。
認証システムでパスワードの履歴を保持することはかなり一般的です。実際のパスワードではなく、パスワードのハッシュ/表現を保存し、それらを比較していることを忘れないでください。そのため、ここでは公開やソーシャルエンジニアリングのリスクはあまりありません。ここに小さなリスクがあると思います。攻撃者がネットワークトラフィックを傍受し、MiTMである場合(SSLでも)、パスワードが表示され、古いパスワードが表示され、他のサイトでパスワードを使用していると想定できます。ただし、トラフィックが既に傍受されている場合は、新しいパスワードも表示され、おそらく他のすべてのトラフィックも表示されます。
パスワードを変更したときにプロンプトが表示されても、実際のセキュリティリスクはありません。これは、最後のパスワード変更が自分で行われたかどうかを判断する方法です。そのときにパスワードを変更したことを覚えていない場合は、必ず今すぐ変更して、どのように侵害されたかを確認してください。ローカルネットワークまたはコンピューターに関しては、おそらくあなたのパブリックIPアドレスを使用しているだけです。 (NATを使用して)ホームルーターの背後にいる場合、すべてのコンピュータは同じIPとしてインターネットに表示されます。他のPCやネットワークからパスワードが変更されたことを知らせていないことに本当に驚いています。他の国のIPからのログイン試行について、Googleから警告が表示されました。
このシナリオでソーシャルエンジニアリングの問題がどこにあるのかはわかりません。「どの高校に行きましたか」などの質問を受けていますか。チャレンジ質問として(たとえば、公開されているものやFacebookプロフィールの一部?).
多くのシステムでは、自分のパスワードを忘れたユーザーは、他の方法で自分自身を認証し、新しいパスワードを割り当てることがあります。残念ながら、多くの場合、詐欺師はこれらの「その他の手段」を使用して自分自身を認証し、アカウントのパスワードを変更して、彼(詐欺師)はアクセスできるようにしますが、元のユーザーはアクセスできません。正当なユーザーが以前に設定したパスワードを使用して次にログインしようとすると、単に「不正なパスワード」と言われただけである場合、正当なユーザーは自分のパスワードを忘れたと信じて、アカウントが侵害されたことに気付かない可能性があります。ユーザー自身が変更していないときにパスワードが変更されたことをユーザーに通知すると、アカウントがハッキングされたことが通知されます。そのような通知の価値は、多くの場合、それがもたらすセキュリティリスクを大幅に超える可能性があります。