Question:
Si vous essayez par erreur d'accéder à un site Web avec un nom d'utilisateur / mot de passe sans rapport, enregistrent-ils vos données de connexion?
AntiNoise
2020-03-02 08:05:39 UTC
view on stackexchange narkive permalink

J'utilise KeePass avec la saisie automatique, et de temps en temps (quand je suis fatigué, etc.) je lance accidentellement l'URL d'une entrée portant le même nom et j'essaye de me connecter avec le mauvais U / P. Cette question n'a aucun rapport avec KeePass en soi.

Je me demande simplement si les tentatives de connexion sont enregistrées et consignées par le "mauvais" site, ce qui permet aux administrateurs du site de voir une connexion indépendante dont ils pourraient abuser.

Je ne comprends pas la situation.Qu'entendez-vous par «tenté»?Avez-vous entré quelque chose?
Juste pour ajouter quelques conseils pratiques aux réponses existantes: il serait préférable que vous changiez le mot de passe après l'avoir mis dans le mauvais site Web ou que le mot de passe soit mis dans le champ du nom d'utilisateur, mais à moins qu'il ne s'agisse d'un site de phishing / typosquatting, le risqueest relativement faible.Certainement recommandé pour les comptes plus importants (par exemple PayPal ou les informations d'identification de votre entreprise), également pour des raisons de responsabilité.
Pour schroeder: Oui, le type automatique KeePass (Google sa fonctionnalité) est entré dans l'U / P mais bien sûr cela n'a pas fonctionné parce que c'était le mauvais site.
Par ailleurs, vous pouvez utiliser le [module complémentaire KeePassXC-Browser] (https://github.com/keepassxreboot/keepassxc-browser) (pour votre navigateur) associé à KeePassXC ou à KeePass2 + [KeePassNatMsg] (https: //github.com/smorks/keepassnatmsg).Cela ajoutera le remplissage automatique du navigateur pour tous les sites qui correspondent à l'URL répertoriée dans vos entrées de mot de passe.Cela fonctionne aussi très bien comme anti-hameçonnage, car le remplissage automatique ne se produira pas sur les sites qui ont des domaines similaires mais distincts.
https://www.businessinsider.com/henry-blodget-okay-but-youve-got-to-admit-the-way-mark-zuckerberg-hacked-into-those-email-accounts-was-pretty-darn-cool-2010-3? utm_source = reddit.com & r = US & IR = T c'est ce que tu veux dire?
Lorsque vous parlez d'enregistrement des connexions, voulez-vous dire la combinaison nom d'utilisateur / mot de passe ou un journal que quelqu'un a essayé de se connecter à x nom d'utilisateur à la fois à partir de l'adresse ip z?
Les gestionnaires de mots de passe qui facilitent l'utilisation du nom d'utilisateur / mot de passe pour le mauvais site Web devraient être interdits ... Cela annule simplement l'un des principaux avantages des gestionnaires de mots de passe ...
si vous avez l'intention de vous adresser à un commentateur spécifique, faites précéder son identifiant d'un "@" - il sera alors informé de votre réponse.
J'ai vu des sites à bas prix développés par des développeurs de bas niveau faire des choses comme consigner les mots de passe en texte clair.Vous seriez surpris de l'ampleur de ce type d'échec.
Je sais que Active Directory le fait.Cela signifie qu'un site Web qui s'authentifie contre un enregistrera votre mot de passe!
@Luc cela devrait être une réponse, car c'est le meilleur conseil
Sept réponses:
jdow
2020-03-02 08:32:09 UTC
view on stackexchange narkive permalink

C'est possible, les sites de phishing sont configurés pour faire exactement cela.

Sur les sites non malveillants, cela serait généralement considéré comme une mauvaise pratique, mais il n'y a aucune raison pour laquelle ils ne le pourraient pas, au-delà des règles de confidentialité des utilisateurs.

Le RGPD, pour autant que je sache, l'interdit.Là encore, tout le monde n'est pas soumis au RGPD (ou ne le respecte pas).
Pour être clair, il ne s'agissait en aucun cas d'un site de phishing, il contient juste une entrée KeePass qui semble similaire au site que j'avais l'intention de lancer.Les deux sont liés aux paiements de loyer et de services publics, mais l'un est destiné à la visualisation uniquement (le site que j'ai lancé par erreur, puis a exécuté la connexion au site de paiement dans ses champs).Je renomme l'une des entrées pour réduire le risque que cela se reproduise.
@AntiNoise Il s'agit d'un danger inhérent si vous devez sélectionner manuellement le mot de passe à coller, plutôt que le navigateur le fasse automatiquement.
@MechMK1, quelle section du RGPD l'interdirait?
@Tangurena Le nom d'utilisateur et le mot de passe peuvent être considérés comme des informations personnelles, et il serait difficile de prétendre que vous stockez les mots de passe des personnes en texte clair pour des raisons légitimes.Cependant, je ne suis pas avocat, donc je ne sais pas avec certitude.D'où pourquoi j'ai dit "pour autant que je sache"
schroeder
2020-03-02 14:05:51 UTC
view on stackexchange narkive permalink

Je pense que la réponse générale ici est que les mots de passe ne sont normalement enregistrés par aucun service légitime. Les noms d'utilisateur le sont certainement.

Enregistrer les mots de passe est un problème, même pour le site "correct". Les services ne doivent pas savoir quels sont vos mots de passe, c'est pourquoi certains processus complexes sont utilisés pour stocker les mots de passe. J'ai vu des systèmes très mal conçus où les mots de passe sont enregistrés, mais c'est une erreur / incompétence dans la conception.

Les sites Web malveillants, en revanche, enregistrent votre nom d'utilisateur et vos mots de passe, car ils veulent savoir et abusez-en.

À noter que si vous entrez incorrectement le mot de passe dans le champ du nom d'utilisateur, celui-ci sera enregistré.Donc je dirais "contenu des champs de mot de passe" au lieu de "mots de passe", car l'application ne peut pas savoir que `xunh '% 3nbs` est votre mot de passe au lieu de votre nom d'utilisateur.
Vous devez stocker les mots de passe en clair afin de pouvoir les envoyer à des utilisateurs stupides qui les oublient.Bien que ce soit mauvais pour certains sites, je ne dirai pas que c'est mauvais pour tous les sites.Tous les sites n'ont pas besoin de la sécurité de Fort Knox.La sécurité au détriment de la convivialité se fait au détriment de la sécurité.
@Harper-ReinstateMonica et vous dites que les options plus sûres pour la gestion des mots de passe lorsque les utilisateurs oublient leur mot de passe ne sont pas aussi utilisables?
@schroeder en fonction du site et de sa démographie, parfois, c'est vrai.Attention, je n'ai pas dit plus sûr.
@Harper-ReinstateMonica assumer cette responsabilité n'est pas «un bras de fer».Je pense qu'il y a un compromis qui ne posera pas de problèmes à toutes les parties impliquées
Laissez-nous [continuer cette discussion dans le chat] (https://chat.stackexchange.com/rooms/105132/discussion-between-harper-reinstate-monica-and-kevin).
fraxinus
2020-03-02 17:54:44 UTC
view on stackexchange narkive permalink

Un site Web légitime préfère ne pas faire cela.

Là encore, il y a des possibilités:

  1. Le site étant compromis
  2. Le site étant géré par des personnes incompétentes (ne jamais sous-estimer ...), collecter les données et être compromis à un moment donné.
  3. Le site collecte des données d'échec de connexion afin d'analyser et de prévenir les attaques par force brute ou similaires . "Certaines données" incluent probablement des noms de connexion et peuvent ou non inclure des mots de passe, des parties des mots de passe ou des hachages des mots de passe et le hachage peut être fort ou non.
JakeInTheMiddle
2020-03-02 19:34:50 UTC
view on stackexchange narkive permalink

Cela serait probablement enregistré comme une erreur sur le site Web, car cela renverrait l'autorisation refusée. De nombreux sites Web passent par une sorte de pare-feu ou de protection qui pourrait avoir échoué pour essayer de bloquer les tentatives de connexion par force brute ou similaire.

Je serais assez choqué de constater qu'un site Web (non compromis) stocke les mots de passe des tentatives de connexion infructueuses, ou tout mot de passe non haché / en clair.

Au contraire, je serais choqué si un site ne stockait pas les mots de passe des échecs de connexion.Ne serait-ce que pour quelques jours à des fins statistiques.
@Chenmunka,, ces journaux seraient remplis de mots de passe valides par ailleurs avec un caractère mal saisi.C'est un énorme risque de fuite.
@ilkkachu Et / ou rempli de mots de passe valides pour ce même utilisateur, mais pour un site différent.Ce serait absolument un risque horrible pour le site en question et pour tous ses utilisateurs individuellement.Je ne peux pas imaginer un cas d'utilisation pour ces données de journal qui serait proche d'équilibrer ce risque.
@Chenmunka Comme ikkachu et Iron gremlin l'ont déclaré, c'est une mauvaise idée ™
Hand-E-Food
2020-03-03 05:29:16 UTC
view on stackexchange narkive permalink

En ignorant délibérément les sites Web malveillants, cela peut arriver par accident ou par négligence. Je vous renvoie sur Twitter: https://www.theverge.com/2018/5/3/17316684/twitter-password-bug-security-flaw-exposed-change-now

3 mai 2018

Selon Twitter, le bogue s'est produit en raison d'un problème dans le processus de hachage qui masque les mots de passe en les remplaçant par une chaîne aléatoire de caractères qui sont stockés sur le système de Twitter . Mais en raison d'une erreur avec le système, les mots de passe étaient apparemment enregistrés en texte brut dans un journal interne, au lieu de les masquer avec le processus de hachage. Twitter prétend avoir trouvé le bogue par lui-même et supprimé les mots de passe. Il s’efforce de s’assurer que des problèmes similaires ne se reproduisent plus.

Criggie
2020-03-03 07:08:35 UTC
view on stackexchange narkive permalink

Dans une tâche précédente, nous avons consigné les informations d'identification échouées sur un serveur Radius utilisé pour authentifier les connexions Internet. C'était pratique, nous pouvions réinitialiser le mot de passe du client sur ce que leur routeur envoyait ou voir si les creds provenaient d'un autre FAI par le nom d'utilisateur.

Mon point est, il y a des moments où les échecs de journalisation sont utiles ( "grand-mère, vous avez de nouveau verrouillé les majuscules") Cependant, il y a dix ans, les règles et règlements ont évolué.

De toute façon, vous utilisez un mot de passe différent par service, non? Allez donc sur ce site et modifiez ce mot de passe qui, selon vous, aurait pu fuir. Si c'est votre mot de passe par défaut pour tout, alors vous avez encore beaucoup de travail à faire.

KuttKatrea
2020-03-03 10:57:37 UTC
view on stackexchange narkive permalink

Ils ne devraient pas, mais une bonne pratique de sécurité serait de considérer le mot de passe utilisé comme compromis et de le modifier.

Après tout, si vous perdez un jeu de clés pour votre maison, vous ne moins inquiet de remplacer les serrures?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...