Question:
Si j'entre un mot de passe sur le mauvais site, dois-je le considérer comme compromis?
JonnyWizz
2015-11-12 20:30:12 UTC
view on stackexchange narkive permalink

J'ai récemment commencé à utiliser un gestionnaire de mots de passe et de bonnes pratiques en matière de mots de passe. J'ai un mot de passe différent pour chaque site que j'utilise.

Si j'utilise accidentellement le mot de passe d'un autre site lors de la connexion à une page Web, dois-je considérer le mot de passe comme compromis et le modifier?

Par exemple

  • Si mon mot de passe pour www.example.com était passwordOne
  • Et mon mot de passe pour www.ejemplo.com était contraseñaUno
  • Et j'ai essayé accidentellement pour me connecter à www.example.com avec le mot de passe contraseñaUno

Aurais-je besoin de mettre à jour le mot de passe de www.ejemplo.com?

Je peux voir un message similaire mais différent question ici, mais qui concerne le mot de passe entré dans le champ du nom d'utilisateur.

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/31641/discussion-on-question-by-jonnywizz-if-i-enter-a-password-on-the-wrong- site-sho).
Dix réponses:
Gudradain
2015-11-12 22:34:05 UTC
view on stackexchange narkive permalink

Juste pour jouer l'avocat du diable ...

Vous êtes aussi susceptible d'être compromis que si vous utilisiez le même mot de passe sur les deux sites *.

Comme la plupart des gens l'ont souligné, vous n'avez probablement pas à vous inquiéter. Pas tellement parce qu'un site Web ne peut pas faire la différence entre un bon ou un mauvais mot de passe, mais plutôt parce que la plupart des sites Web que vous visiterez ne consigneront probablement pas votre mot de passe. La raison est simplement que cela ne leur apporte aucune valeur. La plupart des sites Web sont là pour faire des affaires légitimes et ne voient donc aucune valeur à être malveillant en enregistrant chaque mot de passe entré.

Néanmoins, si j'avais de mauvaises intentions et que je voulais rassembler de nombreux mots de passe possibles, héberger un service en ligne les mots de passe seraient probablement une meilleure alternative que d'essayer de forcer brutalement toutes les combinaisons possibles. Attraper tous les mots de passe, même les mauvais, n'est pas une mauvaise idée si vous hébergez ce genre de «service». Les utilisateurs qui ont plusieurs mots de passe sont très susceptibles d'entrer les mauvais mots de passe sur le mauvais site, par conséquent, consigner les mauvaises tentatives ainsi que les bonnes tentatives est un bon plan d'attaque.

Par exemple, considérez cette citation de https : //howsecureismypassword.net/

Ce site pourrait voler votre mot de passe… ce n'est pas le cas, mais il pourrait facilement l'être.
Faites attention à l'endroit où vous tapez votre mot de passe.

Cela met les choses en perspective. De plus, un tel «service» diabolique est-il si peu probable? C'est difficile à dire, mais ce n'est certainement pas nouveau: https://xkcd.com/792/

Remarque * : Eh bien, j'ai dit "aussi probable" mais ce n'est pas tout à fait vrai. En utilisant le même mot de passe sur de nombreux sites, vous êtes non seulement vulnérable aux sites malveillants, mais également à l'incompétence des propriétaires de sites. De nombreux sites Web stockent toujours votre mot de passe en texte clair dans leur base de données ou utilisent un hachage faible, ce qui signifie que si un attaquant est capable de voler sa base de données, votre mot de passe est compromis.

C'est un bon point - et la raison pour laquelle les sites Web réputés de vérification des violations ne demandent pas de mots de passe. Au lieu de cela, ils demandent des adresses e-mail et vérifient s'ils se sont retrouvés dans des violations de données. Un mot de passe sans identifiant de compte correspondant devrait être pratiquement inutile, sauf en tant qu'entrée dans une longue liste de "mots de passe potentiels".
@Matthew Eh bien, la plupart des sites demandent une adresse e-mail comme nom d'utilisateur. L'utilisateur réutilisera cette même adresse sur chaque site. Ainsi, une fois que l'attaquant a obtenu un combo nom d'utilisateur / mot de passe, il lui suffit d'essayer quelques sites courants tels que Facebook, Google, stackoverflow, etc.
Cela s'appliquerait à un site malveillant, ce qui n'est pas la situation mentionnée. Il n'y a pas d'attaquant dans ce cas
@Matthew Il n'a jamais dit si le site est malveillant ou non. Pour autant que nous sachions, tout site que nous ne contrôlons pas pourrait être malveillant.
Sûrement pas "aussi probable". Lorsque vous utilisez le même mot de passe, votre mot de passe (ou un hachage) est sûr d'être enregistré sur site1 et site2. Un hacker qui récupère la base de données peut essayer de récupérer votre mot de passe. Avec juste une tentative de mot de passe, il est fort probable que le mot de passe utilisé pour la tentative elle-même ne soit pas enregistré.
@Konerak: Seuls les incompétents et les types malveillants enregistrent le mot de passe de connexion, en texte clair ou crypté, car un hachage correctement salé est suffisant à cet effet et ne peut pas être inversé. Et que le site soit honnête ou non, il pourrait être compromis, que ce soit en utilisant l'ingénierie sociale (mauvais employés ou black-mail, y compris le type légal), l'accès physique ou le piratage.
Deduplicator: Je suis d'accord. Vous renforcez simplement mon argument.
@Konerak Je suis d'accord. Modification de la réponse pour en tenir compte.
Matthew
2015-11-12 20:39:02 UTC
view on stackexchange narkive permalink

Vous allez probablement bien - il n'y a pas de distinction particulière entre un mauvais mot de passe pour le bon site et un bon mot de passe pour le mauvais site. Même si c'était le cas, le site qui a reçu le mauvais mot de passe ne saurait pas sur quel site il était censé être utilisé.

Et c'est avant de considérer qu'il serait rare de consigner des mots de passe pour des tentatives de connexion infructueuses .

Il n'y a aucun mal à le modifier, mais à moins que vous n'utilisiez le nom de l'autre site comme mot de passe, il semble peu probable que quiconque puisse utiliser les informations.

De plus, si le nom d'utilisateur (e-mail) utilisé est le même, il devient plus probable qu'il se termine dans un dictionnaire quelque part.
Il est très plausible que le journal de site malveillant ait échoué le mot de passe, car il n'est pas rare du tout d'écrire le mauvais mot de passe sur le mauvais site lorsque vous avez de nombreux mots de passe à retenir. De plus, vous semblez largement surestimer le travail nécessaire pour trouver le bon service alors que vous avez déjà un possible combo nom d'utilisateur / mot de passe. Prenez simplement les 1000 services les plus populaires et vous avez de bonnes chances d'obtenir une connexion réussie. 1000 essais ne sont rien lorsque vous essayez de déchiffrer des mots de passe.
@Gudradain Il existe une distinction entre un site malveillant et un site visité accidentellement. Il est peu probable qu'un site légitime dans lequel vous saisissez le mauvais mot de passe enregistre les mots de passe. Un site malveillant est un problème différent
Parce qu'il est très facile de dire quel site est malveillant et quel site ne l'est pas. Droite?
@Gudradain Dans ce cas, oui. Si vous tapez votre mot de passe Facebook dans une zone de connexion Twitter, il ne sera pas enregistré, il ne sera pas utilisé contre vous. Idem vice versa. Il ne s'agit pas d'attaques de phishing, où le site tente activement d'obtenir des détails
@Gudradain OP a dit qu'il a un compte sur les deux sites, il vient de confondre ses deux mots de passe ... Pourquoi aurait-il un compte sur un site suspect?
@Mr.E Parce que, même si c'est un site que vous visitez fréquemment, il est très difficile de dire si ce site n'a pas une activité secondaire de craquage de mot de passe. Pour autant que je sache, stackoverflow pourrait consigner toutes mes tentatives de mot de passe s'ils le souhaitent.
@Matthew Cependant, nous ne pouvons jamais savoir. ** Pratiquement **, la journalisation des mots de passe pour les tentatives infructueuses n'est presque jamais un problème. Cependant ** de manière réaliste **, il n'y a aucune garantie. En 2008, j'ai été engagé pour faire du travail de développement sur un forum alimenté par vBulletin avec plusieurs millions d'utilisateurs. Lors de la mise à niveau vers plusieurs modules, il m'est arrivé de constater que l'un des scripts php avait un horodatage différent de tout le reste. C'est alors que j'ai découvert que chaque tentative de connexion était enregistrée pendant au moins 6 mois, et personne ne le savait. La merde arrive.
Même si les propriétaires de sites sont plutôt bons, pourquoi dépendre de leur sécurité irréprochable? Et pourquoi compter sur leur honnêteté plus que nécessaire? Ils peuvent coopérer silencieusement avec quiconque pour toute raison qu'ils jugent suffisante, comme les lois.
@Gudradain Je pense que ce n'est pas dans le cadre de la question. Comment savons-nous qu'OP n'a pas de keylogger? Son gestionnaire de mots de passe est-il vulnérable? Il y a des millions de possibilités, recommanderiez-vous de changer votre mot de passe chaque fois que vous l'utilisez simplement parce que le site Web pourrait le stocker? Je crois que non...
d0nut
2015-11-12 20:34:21 UTC
view on stackexchange narkive permalink

Bien que j'imagine que la plupart des développeurs Web sensés ne consigneraient pas les versions en texte clair des tentatives de mot de passe échouées, c'est toujours possible. Si vous voulez être du bon côté, vous pouvez le considérer comme compromis et réinitialiser ce mot de passe; cependant, personnellement, je ne considérerais pas vraiment cela comme un problème à moins que je ne sente au-delà de tout doute raisonnable que le premier site pourrait potentiellement présenter un risque pour moi.

Je ne suis pas sain d'esprit, je suis juste trop paresseux, même si j'y ai réfléchi.
Ma question serait: "Avec des programmes comme lastpass qui facilitent la modification de votre mot de passe, pourquoi ne PAS le changer?" À tout le moins, cela vous donnera la tranquillité d'esprit, et cela en vaut BEAUCOUP.
Si vous avez lastpass, alors oui, autant aller le changer mais je n'ai pas supposé qu'ils l'ont fait. L'essentiel de ce que je disais est le suivant: * Si vous êtes réellement inquiet, changez-le, sinon si vous n'avez aucune raison de soupçonner quoi que ce soit du site Web sur lequel vous avez accidentellement renversé les haricots (c'est-à-dire google), tout devrait bien se passer . *
Pourquoi des "versions en texte clair"? Même si son cryptage réversible, le propriétaire du site malveillant ou le pirate informatique qui peut inverser, a le laissez-passer.
@Konerak Normalement, vous ne cryptez pas les mots de passe. Vous les hachez, ce qui n'est pas un processus réversible.
@iismathwizard, oui, d'où le "pair". Vous DEVRIEZ les hacher, mais cette réponse disait que "la journalisation du texte clair est une vulnérabilité". Je voulais ajouter "même la journalisation est chiffrée".
@Konerak où ai-je dit ça?
kd8azz
2015-11-12 21:46:09 UTC
view on stackexchange narkive permalink

Le seul cas dans lequel je changerais ce mot de passe est si le site qu'il sécurise est sensiblement plus important pour vous que le site sur lequel vous l'avez saisi.

Par exemple, il y a des gens dans le monde qui ont accès à des systèmes qui intéressent les acteurs des États-nations. Si ces personnes devaient saisir leur mot de passe important sur un autre site, elles devraient le changer immédiatement.

Je pense que c'est une bonne règle dure et rapide pour la situation.
Je me demande ce qui se passerait si quelqu'un agissait comme un "utilisateur de pot de miel", fournissant un faux mot de passe différent à chacun d'un grand nombre de sites et surveillant ensuite les tentatives d'utilisation de ces mots de passe sur un site particulier? Si quelqu'un génère une chaîne aléatoire et l'utilise comme mot de passe pour acme.example.com, mais ne le distribue nulle part ailleurs, et qu'il y a ensuite un effort pour utiliser cette chaîne pour se connecter à l'un des comptes de cette personne, ce serait semblent impliquer que quelqu'un à acme.example.com l'a divulgué. Si acme.example.com est censé être sécurisé, un tel comportement pourrait leur donner un œil au beurre noir.
@supercat: Oui. Mais cela signifie que vous devez enregistrer les mots de passe incorrects utilisés, pour au moins un service populaire que vous utilisez, au moins pour votre propre compte. Cela signifie que vous devez le configurer avec les propriétaires. Assez difficile à organiser, et risque de prévenir les méchants, selon qui ils sont ... Encore une belle idée.
@Deduplicator: L'idée serait que le propriétaire de l'un des services créerait le pot de miel et serait ainsi en mesure de surveiller l'un des mauvais mots de passe (non pas en enregistrant tous les mots de passe, mais plutôt via un mécanisme qui est configuré pour enregistrer uniquement les faux mots de passe sur un utilisateur spécifique).
null_pointer
2015-11-12 23:53:53 UTC
view on stackexchange narkive permalink

Traitez le mot de passe comme compromis . Personne ne peut vous assurer que

  • le site n'a aucun administrateur système malveillant.
  • le site a des mots de passe hachés ou chiffrés.
  • il leur manque des vulnérabilités d'injection SQL qui permet de récupérer des données, y compris les noms d'utilisateur / e-mails / mots de passe.
  • toute personne accédant à ces données osera tester l'intrusion dans plusieurs autres sites et vous serez si malchanceux qu'ils toucheront celui-là.

Tant qu'il existe la faible possibilité que tout ou partie de ce qui précède soit vrai, vous avez un mot de passe compromis.

En règle générale, le mot de passe a disparu, c'est le mot de passe néant. Modifiez-le et dormez.

Une autre histoire différente est de savoir si vous voulez réellement perdre votre temps en changeant un mot de passe qui ne protège rien (c'est-à-dire un blog vide, un compte de messagerie inutile, ...) ou votre compte bancaire.

Cort Ammon
2015-11-12 23:17:10 UTC
view on stackexchange narkive permalink

Le terme "compromis" n'est pas un oui ou un non binaire. C'est un concept mesurant qui a accès à un compte et à quel point ses objectifs peuvent être différents des vôtres.

Dans ce cas, supposez que toute personne qui aurait pu avoir accès à des connexions sur www.example.com possède désormais votre mot de passe. Cela inclut toute personne qui a piraté www.example.com et tous les employés en qui la direction de www.example.com aurait confiance avec un accès suffisant pour récolter les mots de passe des utilisateurs (peut-être une poignée de DBA).

Ce sont toutes les données . Allez de là. Si vous avez utilisé un mot de passe utilisé pour protéger des informations classifiées sur un forum, vous devez le traiter immédiatement comme compromis, car ce niveau d'exposition est inacceptable pour un tel compte privilégié. Si vous avez utilisé le mot de passe d'un forum sur un autre, ce n'est probablement pas la plus grosse affaire.

Au milieu, vous pourriez considérer le cas où vous avez utilisé le mot de passe de votre compte bancaire sur un forum. C'est une zone grise qui dépend entièrement de votre modèle de menace personnel.

Steve Jessop
2015-11-13 09:42:09 UTC
view on stackexchange narkive permalink

  • Si le site (enfin, la personne derrière) est malveillant, alors il ajoutera le mot de passe ayant échoué à la liste des choses qu'il sait sur vous, et envisagera certainement la tactique de l'essayer sur chaque autre compte qu'il connaît. En tant que tel, vous devez le considérer comme compromis.

  • Si le site est incompétent, il pourrait en quelque sorte divulguer votre mot de passe échoué. Mais s'il fait cela, il perdra également beaucoup de légères fautes de frappe de ses propres mots de passe, ce qui est vraiment assez grave pour eux. Donc, il doit être vraiment plutôt incompétent.

  • Si le site est fondamentalement normal, tout va bien, il ne conservera aucune trace des mots de passe échoués (ou réussis, d'ailleurs, autre que l'enregistrement haché et salé).

Notez que les sites qui ont eux-mêmes été compromis peuvent raisonnablement être considérés comme malveillants.

Donc, vous devez considérer l'équilibre entre le risque qu'ils soient très malveillants, très incompétents ou très piratés, et le coût associé du mot de passe compromis, contre le coût pour vous de changer ce mot de passe.

Si vous craignez que le risque soit important, modifiez le mot de passe. C'est généralement très facile lorsque vous utilisez un gestionnaire de mots de passe, ce n'est pas comme si vous deviez apprendre le nouveau. Cependant, vos efforts sont très probablement inutiles, car la plupart des sites Web sont "fondamentalement normaux" la plupart du temps.

Vous devez également réfléchir attentivement à ce qui a conduit à l'erreur. Le fait que vous ayez entré vos informations d'identification sur le "mauvais site" est une erreur compréhensible, mais assurez-vous de ne pas systématiquement échouer à vérifier correctement l'identité des sites avant de saisir les informations d'identification, sinon vous êtes vulnérable là-bas.

Shubhradeep Mallik
2015-11-13 20:24:16 UTC
view on stackexchange narkive permalink

Si vous avez entré le mot de passe du site Web A dans le site Web B,

Considérez quelques aspects - À quel point le Web B est-il fiable? Web B est-il une société renommée conforme aux normes du marché? Le contenu du Web est-il Est-il possible de deviner à partir du mot de passe à quel site Web appartient-il?

Si vous êtes confus sur l'une de ces questions, changez-le simplement.

Vous ne saurez jamais si WebManager / SysAdmin stocke le mot de passe sous forme de texte brut ou de cryptage décodable sur le serveur, ou s'il le sécurise par un hachage.

Adrian Panasiuk
2015-11-16 15:30:39 UTC
view on stackexchange narkive permalink

Le site sur lequel vous avez tapé le mauvais mot de passe était-il facebook.com?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard- crimson-2010-3

Mark a utilisé son site, TheFacebook.com, pour rechercher les membres du site qui se sont identifiés comme membres du Crimson. Puis il a examiné un journal des échecs de connexion pour voir si l'un des membres de Crimson avait déjà entré un mot de passe incorrect dans TheFacebook.com. Si les cas dans lesquels ils avaient entré des connexions échouaient, Mark a essayé de les utiliser pour accéder aux comptes de messagerie des membres de Crimson à Harvard. Il a réussi à accéder à deux d'entre eux.

Vous feriez probablement mieux de présenter cela comme un exemple de la façon dont un mot de passe mal saisi pourrait entraîner sa compromission ... alors ce serait une réponse claire dans le contexte de la question initiale.
Mark Buffalo
2016-01-29 04:43:32 UTC
view on stackexchange narkive permalink

Équipons notre [Tinfoil Hat] légendaire.

Les sites Web peuvent-ils enregistrer mes mots de passe?

Supposons que le site Web ait fait son hachage correctement. Lorsque vous vous connectez à un site Web, ils peuvent prendre votre mot de passe en clair et le comparer au hachage stocké. Si le mot de passe correspond au hachage stocké dans la base de données, il vous permettra de vous authentifier. Sinon, il vous informera que votre mot de passe n'est pas valide.

Et alors?

Eh bien, il se trouve que quiconque avec un minimum de connaissances en programmation pourrait enregistrer des mots de passe invalides en ajoutant une nouvelle ligne à une méthode d'authentification pour tout type du site Web ... même s'il s'agit d'un portail Web open-source populaire, d'un forum ou de tout type de package. Tant que la source peut être modifiée, on peut changer tout ce qu'il veut, comme ceci: 

  private void CheckPasswordBeforeHackingMyAOL-CD (string input, string username) {if (IsValid (input) && IsValid (username) && Bcrypt.TestHash (input, Database.GetHashForUser (username)) {AuthenticateMyFace ();} else {Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks (username, inputDhat) > > En fait, un programmeur pourrait faire cela  avant  le hachage pour tout ce qui a trait aux mots de passe. Rien n’empêche personne de le faire. 
 
 Gestion des risques 
 
 Voici quelques questions à prendre en compte: 
     
  1.  Vous souciez-vous de l'intégrité de l'un ou l'autre compte? 
    2.  
  2.  Le même e-mail est-il utilisé dans les deux comptes? 
    3.  
  3.  Utilisez-vous le même mot de passe pour l'e-mail et le (s) site (s) Web en question n (j'espère que non)? 
 
 Si oui à 1-3, je vous recommande de changer votre mot de passe. Sauf si vous ne vous en souciez pas. 


 Maintenant que nous avons montré que c'est possible sur tous les fronts, devriez-vous avoir peur d'une telle attaque? Je ne m'en soucierais pas. Si vous êtes inquiet, vous devriez probablement utiliser quelque chose comme  KeePass pour gérer les informations d'identification du site Web afin que vous n'ayez légitimement pas à vous inquiéter.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...