如果登录网页时不小心使用了另一个站点的密码,我是否应该认为该密码已被泄露并更改了?
例如
如果www.example.com的密码是passwordOne
,而www.ejemplo.com的密码是conseñaUno
,我不小心尝试登录www密码为.seman.U.no的.example.com
我需要更新www.ejemplo.com的密码吗?
我可以在此处看到类似但不同的问题,但这与输入在用户名字段中输入的密码。
#1 楼
只是扮演恶魔的拥护者...就像在两个站点上使用相同的密码一样,您很容易受到损害。
正如大多数人指出的那样,您可能不必担心。并不是因为网站无法区分密码的正确与否,而是因为您将访问的大多数网站可能不会记录您的密码。原因很简单,它没有为他们提供任何价值。大多数网站都在那里开展合法业务,因此,记录下每个输入的密码对恶意软件没有任何价值。
如果我有恶意,想收集许多可能的密码,并在网上托管服务,收集密码可能比尝试暴力破解所有可能的组合更好。如果您托管这种“服务”,则捕获所有密码,甚至包括错误的密码,也不是一个坏主意。具有多个密码的用户很可能会在错误的站点上输入错误的密码,因此,记录好尝试和好尝试都是很好的攻击计划。
例如,请考虑以下https:/ /howsecureismypassword.net/
该网站可能正在窃取您的密码……虽然不是,但是很容易。
请小心输入密码。
它使事物变得透视。另外,这种邪恶的“服务”难道不是那么容易吗?很难说,但是可以肯定的是,它不是什么新东西:https://xkcd.com/792/
注意*:嗯,我确实说了“可能”,但这并不是真的。通过在许多站点上使用相同的密码,您不仅容易受到恶意站点的攻击,而且还容易受到站点所有者的攻击。许多网站仍将您的密码以纯文本格式存储在其数据库中,或者使用弱散列,这意味着,如果攻击者能够窃取其数据库,您的密码就会受到威胁。
评论
这是一个好点-也是著名的违规检查网站不要求输入密码的原因。相反,他们要求提供电子邮件地址,并检查是否发现数据泄露。没有相应帐户标识符的密码几乎是无用的,除了作为“潜在密码”的长列表中的一项。
–马修
15年11月12日在16:39
@Matthew好吧,大多数网站都要求输入电子邮件地址作为用户名。用户将在每个站点上重复使用相同的地址。因此,一旦攻击者获得了用户名/密码组合,他只需要尝试一些常见的网站,例如facebook,google,stackoverflow等。
–古德拉丹
15年11月12日在16:45
这将适用于恶意网站,而没有提到这种情况。在这种情况下没有攻击者
–马修
2015年11月12日在20:21
@Matthew他从未说过该网站是否恶意。就我们所知,任何我们无法控制的站点都可能是恶意的。
– PyRulez
15年11月12日在20:44
当然不是“尽可能”。当您使用相同的密码时,您的密码(或散列)一定会保存在site1和site2上。获得数据库的黑客可以尝试恢复您的密码。仅尝试一次密码,用于尝试本身的密码就不会被记录的机会大大增加。
–科尼拉克
15年11月13日在9:01
#2 楼
您可能还不错-正确的网站密码和错误的网站密码之间没有特别的区别。即使存在,密码输入错误的站点也不会知道应该在哪个站点上使用。这是在考虑登录失败后登录密码的罕见情况尝试。
对其进行更改无害,但是除非您将其他站点的名称用作密码,否则似乎不太可能有人可以使用该信息。
评论
同样,如果使用的用户名(电子邮件)相同,则很有可能以字典结尾。
– Mindwin
15年11月12日在18:44
恶意站点登录失败的密码非常有可能,因为当您要记住许多密码时,在错误的站点上写错密码的情况并不少见。同样,当您已经有可能的用户名/密码组合时,您似乎大大高估了寻找正确服务所需的工作。只需接受1000种最受欢迎的服务,您就有很大的机会成功登录。当您尝试破解密码时,尝试1000次不算什么。
–古德拉丹
2015年11月12日在20:05
因为分辨哪个站点是恶意的,哪个站点不是很容易。对?
–古德拉丹
15年11月12日在20:22
@Gudradain OP告诉他在两个站点都有一个帐户,他只是混淆了他的两个密码...为什么他会在一个可疑站点拥有一个帐户?
– E先生
15年11月12日在20:51
@马修但是我们永远不会知道。实际上,失败记录的密码记录几乎从来都不是问题。但是,从现实的角度讲,并不能保证。早在2008年,我被合同在一个由vBulletin支持的论坛上进行开发工作,该论坛有数百万用户。在升级到几个模块的过程中,我偶然发现其中一个php脚本的时间戳不同于其他所有时间戳。从那时起,我发现每次登录尝试都被记录了至少6个月,却没人知道。该死。
–user41341
2015年11月12日在21:06
#3 楼
虽然我认为大多数理智的Web开发人员都不会记录失败密码尝试的明文版本,但这仍然是可能的。如果您想安全起见,可以认为它已受到威胁并重设该密码。但是,除非我完全合理地怀疑第一个站点可能给我带来风险,否则我个人不会真的将其视为一个问题。评论
我不是理智的,虽然我考虑过,但我还是太懒了。
–隐藏
15年11月12日在16:37
我的问题是,“使用lastpass之类的程序可以很容易地更改密码,为什么不更改它呢?”至少,它会让您省心,这值得很多。
–里克·查塔姆
2015年11月12日19:36
如果您有最后通行证,那么可以更改它,但是我没有做出他们这样做的假设。我要说的一般要点是:如果您确实担心,请更改它;否则,如果您没有理由怀疑网站的任何内容,而您无意中将豆子撒到了(例如google)上,那应该没问题。
– d0nut
2015年11月12日在20:21
为什么使用“明文版本”?即使其可逆加密,恶意的网站所有者或可以逆转的黑客也可以通过。
–科尼拉克
15年11月13日在8:59
@Konerak通常,您不加密密码。您哈希它们,这是不可逆的过程。
– d0nut
2015年11月13日14:20
#4 楼
我唯一要更改此密码的情况是,它所保护的网站对您的保护远比您键入的网站重要得多。例如,世界上有些人拥有访问民族国家参与者可能会感兴趣的系统。如果这些人将重要密码输入其他站点,则应立即更改。
评论
我认为这是对这种情况的硬性规定。
– d0nut
2015年11月12日15:47
我不知道如果有人充当“蜜罐用户”,向大量站点中的每个站点提供不同的虚假密码,然后监视在某个特定站点上使用这些密码的尝试,将会发生什么情况?如果某人生成了一个随机字符串并将其用作acme.example.com的密码,但未将其分发到其他任何地方,那么随后便会尝试使用该字符串登录到该人的一个帐户中,似乎暗示acme.example.com有人泄漏了它。如果acme.example.com应该是安全的,则此类行为可能会使他们无视。
–超级猫
15年11月12日在18:08
@supercat:是的。但这意味着您需要记录使用了错误的密码,至少使用一种流行的服务,至少对于自己的帐户。这意味着您必须与所有者进行设置。组织起来非常困难,并且可能会警告坏人,具体取决于他们是谁。
–重复数据删除器
2015年11月13日在11:39
@Deduplicator:想法是服务之一的所有者将创建蜜罐,从而可以监视其中一个邪恶的密码(不是通过记录所有密码,而是通过设置为仅记录的机制)特定用户的特定错误密码)。
–超级猫
2015年11月13日14:06
#5 楼
将密码视为已泄露。没有人可以向您保证该站点没有恶意的系统管理员。
该站点具有哈希或加密的密码。
它们缺少允许重新获取的sql注入漏洞。数据,包括用户名/电子邮件/密码。
访问此数据的任何人都敢于测试对其他多个站点的入侵,而您很不幸,他们会碰到那个站点。
由于上述任何一项或全部都存在的可能性很小,因此您的密码已经被盗。
凭经验,密码消失了,密码无效。更改密码并进入睡眠状态。
另一个不同的历史记录是您是否真的想浪费时间更改不保护任何内容的密码(例如,空博客,无用的电子邮件帐户等)或您的银行帐户。 br />
#6 楼
术语“妥协”不是二进制的“是”或“否”。它是一个概念,用于衡量谁有权访问帐户,以及他们的目标可能与您的目标有多少不同。在这种情况下,假设任何可能访问www.example.com的登录名的人现在都有你的密码。这包括攻击了www.example.com的任何人以及www.example.com的领导层可以信任并拥有足够权限来从用户(可能是少数DBA)中收集用户密码的任何员工。
数据。去那边如果您使用了用于保护论坛上机密信息的密码,则应立即将其视为已泄露,因为这种特权帐户无法接受这种暴露水平。如果您在另一个论坛上使用了一个论坛的密码,可能不是最大的交易。
在中间,您可能会考虑在论坛上使用银行帐户密码的情况。这是一个灰色区域,完全取决于您的个人威胁模型。
#7 楼
如果该网站(好吧,背后的人)是恶意的,那么它将把失败的密码添加到它所知道的有关您的事物的列表中,并且肯定会考虑对它知道的其他每个帐户进行尝试的策略。 。因此,您应该认为它受到了损害。
如果网站不称职,则可能会以某种方式泄漏您失败的密码。但是,如果这样做,还会泄漏很多自己的密码输入错误,这对他们来说确实是很严重的。因此,它必须确实相当不称职。
如果该站点基本正常,那么您就可以了,它不会保留任何失败密码的记录(或成功记录密码的记录,除了经过哈希处理和加盐处理外)记录)。
请注意,本身已受到攻击的网站可以合理地视为恶意网站。
因此,您需要在风险非常大的风险之间进行权衡恶意,非常不称职或非常被黑,并且密码的相关成本受到损害,而不是更改密码所带来的成本。
如果您担心风险可能很大,请更改密码。当使用密码管理器时,这通常非常容易,这不像您必须学习新的密码管理器。但是,您的工作很有可能是不必要的,因为大多数网站在大多数时间都是“基本正常”。
您还应该仔细考虑导致错误的原因。您将凭据输入到“错误的站点”这一事实是可以理解的错误,但是请确保在输入凭据之前,您没有系统地未能正确验证站点的身份,否则您在那里容易受到攻击。
#8 楼
如果您已将网站A的密码输入到网站B中,请考虑几个方面-
Web B的信任程度如何?
Web B是否是著名的公司,符合市场标准
Web A的内容真的很容易受到攻击吗?
是否可以通过密码猜测它属于哪个网站?
如果您对这些内容感到困惑问题,只需更改即可。
您将永远不会知道WebManager / SysAdmin是将密码作为原始文本还是可解密的加密存储在服务器中,或者他们是通过一种哈希方式保护密码的。
#9 楼
您在此网站输入了错误的密码facebook.com吗?http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard-crimson-2010-3
马克使用他的网站TheFacebook.com来查找该网站的成员,这些成员将自己标识为绯红色的成员。然后,他检查了登录失败的日志,以查看是否有任何Crimson成员曾经在TheFacebook.com中输入错误的密码。如果他们输入的案例登录失败,Mark尝试使用它们访问Crimson成员的哈佛电子邮件帐户。他成功访问了其中两个。
评论
您最好将其作为示例,说明输入错误的密码可能会导致密码被盗用...然后在原始问题的上下文中这将是一个明确的答案。
– R15
15年11月16日在10:15
#10 楼
让我们装备传奇的[Tinfoil Hat]。 网站可以登录我的密码吗?
让我们假设该网站正确地进行了哈希处理。当您登录网站时,他们可以获取您的纯文本密码并将其与存储的哈希值进行比较。如果密码与数据库中存储的哈希匹配,它将允许您进行身份验证。如果不是,它将通知您密码无效。
那又如何呢?
好吧,碰巧有任何编程知识的任何人都可以通过在任何类型的网站的身份验证方法中添加新行来记录无效密码,即使它是受欢迎的开放式网站,源Web门户,论坛或任何类型的软件包。只要可以修改源,就可以更改所需的任何内容,例如:
private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
{
AuthenticateMyFace();
}
else
{
Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
}
}
实际上,程序员可以在对所有必须使用密码。没有什么可以阻止任何人这样做的。
风险管理
以下是需要考虑的一些问题:
您是否关心两个帐户的完整性?
两个帐户使用的电子邮件是否相同?
您是否对所涉及的电子邮件和网站使用相同的密码(我希望不要)?
如果是1-3,建议您更改密码。除非您不在乎。
现在我们已经证明了在每条线上都有可能,您是否应该担心这种攻击?我不用担心。如果您担心,则可能应该使用KeePass之类的方法来管理网站凭据,这样就不必担心了。
评论
评论不作进一步讨论;此对话已移至聊天。