甚至没有考虑,我在Google搜索栏中输入了密码,但没有按Enter键。由于启用了自动完成功能,这是否意味着我的密码已在某处记录或建立索引?更改密码是个好主意还是只是偏执?

评论

以防万一。自动完成功能很可能会通过HTTPS进行,但是搜索引擎肯定将其保存下来,因为他们依靠过去的自动完成条目来进行改进。

什么搜索栏?我们在谈论google.com,浏览器网址栏,浏览器搜索引擎栏,Android主屏幕栏...吗?

Google搜索具有Google即搜即得功能,因此即使您按Enter键也可以提交查询。

对于任何“如果...,我应该更改密码”问题的回答是“是,但您可能不会。”

您在搜索栏中输入123456可能会触发其他人建议在搜索栏中输入123以自动完成到123456的操作。那个人可能会认为“嘿,这是一个有趣的字符序列。我想我会将它包括在字典中我的密码黑客工具的下一个版本”,以及-繁荣-在许多黑客工具尝试通过尝试使用123456作为密码来入侵帐户之后不久。我建议您不要再使用1234656作为密码。

#1 楼

我对此表示高度怀疑。


您没有按Enter键,但Google有时会发送信息以快速显示您的结果。这是通过HTTPS强制执行的。您的信息可能被加密了,没有被泄露。
根据大多数消息来源,Google平均每天处理35亿次搜索。没有其他信息可以证明您的查询是密码。人们也没有任何公开的方式来获取特定Google用户的搜索查询。因此,他们必须是Google的实际雇员。内部Google员工不太可能尝试将您的搜索查询作为您帐户的密码。大多数标准Google员工甚至可能无法获得此类身份信息。但是,如果是这样,那么一个人有意针对您的这种访问权限是天文数字。
再次,没有其他背景可以证明它是您的密码。您的用户信息也不会随查询一起提交。因此,在发生MITM攻击的情况下,他们可以读取您的访问量,我仍然认为它是真正的低,因为他们还必须拥有您的用户名。

我要说的是99.9%机会,您不必担心。如果您戴着锡纸帽子或仍然紧张不安,请更改密码。如果您未在其他地方使用此密码,那么您会很高兴,因为他们不希望他们使用旧密码登录。否则,我会继续前进而不必担心。

编辑:@reirab指出,它可能使它弹出使用搜索历史的功能。如果您不按“提交”,我不相信会发生这种情况。但是,如果您要确保清除与Google的搜索记录。我不确定这是否会从Google的服务器中清除它,但应防止它们在自动完成功能中弹出。

评论


@Kevin我要假设baconface并不真的担心您的内部规则会允许这样做。相反,它是从最坏的情况下编写的,即国家安全局(NSA)间谍对每个人的观点类型。

– DRF
16年4月29日在9:22

@Mindwin:我说的没什么是官方声明。

–凯文
16年4月29日在12:47

@Kevin您写了“我们”。很难把它当作公司的代表。

– Mindwin
16-4-29在13:50



@Mindwin:我在这里看不到困惑-Kevin的评论不是正式声明,但它告诉您确实存在正式声明,告诉您阅读该声明,并总结您的发现。

– Ben Voigt
16年4月29日在15:49

请注意,关注的不仅仅是Google员工或政府。就像我在另一个问题上提到的那样,最近有一个家伙认为他的母亲能够远程查看他的搜索查询,而Google会将您的搜索查询保存到您的Google帐户中。只要能够访问恰好在其上登录了Google帐户的任何计算机(或其他设备),并在Google搜索框中输入密码的前两个字母,任何人都将看到您的密码作为搜索建议。

– reirab
16年4月29日在21:06

#2 楼

我建议您更改密码。事实是,即使您没有按Enter键,您的密码也已发送到他们的服务器。

您可以自己测试一下,打开浏览器,按Ctrl + Shift + I,然后选择网络,开始输入文字并监视流量。

在此示例中,编写了关键字“ test”,而不是按Enter。

请注意字母q搜索查询:t, te, tes, test,正如您所看到的,它几乎与键盘记录器是一样的。



评论


按Ctrl + Shift +我没有给我与您相同的视图。我尝试了Chrome,Firefox和IE。您使用什么浏览器?如果是Chrome,我要在“网络”之后单击什么才能获得与您相同的视图?谢谢。

– kmort
16年4月29日在13:28

@kmort使用Chrome,按Ctrl + Shift + I,转到“网络”选项卡。确保开发者控制台停靠在右侧。确保正在记录流量(可以选择清除日志),然后键入。您应该看到链接像https://www.google.ca/complete/search?...那样填充。单击链接,转到“标题”选项卡,然后向下滚动到“查询字符串参数”。如果您折叠所有其他部分,则将类似于帖子中的图片。

– JSBob
16年4月29日在13:56

@JSBob哇。真的很酷。我所缺少的步骤是单击正确的URL。谢谢JSBob。

– kmort
16年4月29日在14:04

#3 楼

它已发送(加密)到Google。更改密码

它可能已被记录在某处,以及许多搜索词和其他在此键入的垃圾邮件。虽然不太可能将其用于您关心的任何事情或危及您帐户的事情,但为什么要承担风险呢?

PS:建议您使用浏览器搜索栏,并禁用建议。

评论


我不会使用所有工具栏,而是使用地址栏和较小的搜索栏,该地址栏仅包含历史建议,并且永远不会将任何内容发送到任何搜索引擎,该栏显示来自远程服务器的建议。

–古斯塔沃·罗德里格斯(Gustavo Rodrigues)
16-4-29在11:59

@GustavoRodrigues这也是我更喜欢它表现的方式。您可以使用http://%s作为默认搜索引擎来实现目标。

–卡巴斯德
16年4月29日在16:27

如果您只是不连接到Internet,则实际上您的信息是最安全的。

–djechlin
16年4月29日在20:40

#4 楼

从理论上讲,您应该更改密码,因为通过在google中输入密码,密码会发送到google。
但是Google确实使用https,我个人不会太担心google将我的密码用作搜索内容,但是,嘿,这并不理想。
实际上,我认为你应该没事,但是如果您想要完整的安全性,那么更改密码就不会受到伤害。

评论


使用Google时,https到达Google服务器后会被删除,并以纯文本格式存储。

–马克·布法罗(Mark Buffalo)
16-4-29的0:19

从本质上讲,这将需要Google的内部人员,或者被Google入侵,对吗?

–站在
16年4月29日在0:31

还是一些政府机构对用户搜索历史的简单请求?

–克里斯
16年4月29日在9:26

@MarkBuffalo不仅仅是Google。每个https服务器都必须解密接收到的数据才能对其进行处理。

–卡巴斯德
16年4月29日在10:55

是的,当然...但是它们显然是在多个不同的服务器之间传输的,而MITM显然正在发生某些事情。 Google也会出售您的搜索结果。

–马克·布法罗(Mark Buffalo)
16年4月29日在10:59



#5 楼

值得怀疑,但请考虑以下内容。


与Google搜索的连接已加密。据我们所知,谷歌搜索历史并未受到损害。如果您启用了Google搜索和网络历史记录,则理论上可以由设法闯入您帐户的人访问您的搜索历史记录。您说您没有按Enter键;在这种情况下,它可能永远不会存储在您的帐户中。
如果Google在您按下Enter键之前就记录了搜索建议,那么从理论上讲,它可以链接到您的IP地址和/或帐户(如果您当时已登录)。如果您的帐户及时被法院命令提供信息,则他们可能可以检索信息并针对各种帐户对其进行测试和/或针对完整的磁盘加密进行使用。如果您担心这件事,那么我将更改有关密码。
如果有人正在积极攻击您的无线连接,您的计算机上安装了错误的root SSL证书,或者使用其他MITM技术,他们可能会猜到

最后,它取决于两个因素:您的对手是谁以及密码的价值。如果我处于您的给定情况下,我可能会只是更改密码以保持安全。

评论


之所以投票,是因为“最终取决于两个因素:您的对手是谁,密码的价值如何。”是关键。当前流行的答案很简单,因为它们不包括这一点。将其添加到流行的答案。

–马修·埃尔维(Matthew Elvey)
16年4月30日在18:13

#6 楼

即使您可能已经像其他人所说的那样对它进行了加密,但是如果您要在真实的Google搜索中输入相同的前几个字符,则有可能再次显示为建议的搜索。如果再次显示该密码,则可能会受到肩膀冲浪者的威胁。

,所以我建议您更改密码。

#7 楼

我认为您是在问错问题,并且会提出一些修改建议。

您的问题(“由于自动填充,我的密码有风险吗?”)表示您只有一个密码,并且担心通过在搜索引擎中输入暴露威胁。您可能不必担心这一点,但是您确实需要担心您输入的一个或多个站点已被破坏。

这些数据泄漏很常见。它们会影响仅将密码以纯文本格式存储的网站(RockU浮现在脑海)到像Ashley Madison这样的网站,该网站使用了不错的存储算法,实现起来效果不佳。

因此,如果您只有一个密码您在许多网站上使用该网站,它可能已与您的电子邮件地址相关联泄漏。

我建议使用密码管理器。我认为1Password是一个不错的选择。我使用设备间同步来备份我的保管库,即使加密的密码也不会存储在云中。

#8 楼

从理论上讲,是的,因为您的密码已经发送到Google,并且很可能与数十亿个其他短字符串一起存储在某个地方。

实际上,该密码从该数据库中消失的可能性以及某种原因与尝试使用它来访问您的帐户的攻击者相比,它比您经常遭受的许多其他普通攻击要低几个数量级。因此,除非您运行的是超高安全性系统(例如根DNS服务器或根CA证书),否则担心它是不合理的。

实际上,我想说的是,更改密码时出现问题的可能性以及无论如何您最终被锁定或被破坏的可能性都可能大于被破坏的可能性。

#9 楼

这是不可能的(据我所知PHP和MySQL)。这是因为PHP(Web开发中的一种语言)告诉MySQL(数据库服务器)在提交后存储您的输入。

自动补全功能,我对它不了解太多,也不知道使用哪种语言来实现这种功能,但是我认为它只会得到与您的字符串更匹配的内容(即您的密码) )。

由于实际上没有Google数据库来存储尚未提交的意外密码。

即使他们(Google)都获得了密码,他们也可以'不能告诉哪个帐户,哪个用户名。所以,别担心。

评论


然后,您如何回答所有答案,说您在搜索栏中键入的所有内容都会发送给Google(例如:自动填充,自动建议)

– schroeder♦
16年4月29日在18:33

搜索栏如何返回自动建议,而无需在服务器端进行“发送”和“处理”?使用什么技术真的重要吗?

– schroeder♦
16年4月29日在19:00

@BenJunior关于“发送”的含义,这个漏洞要深得多,但是即使它像“自动提示的东西是AJAX”一样简单,即使服务器知道了在搜索框中写的内容,并且从在那之后,由于他们知道数据,因此您再也无法确定。

–拉斐尔·阿尔梅达(Rafael Almeida)
16年4月29日在19:42

无需处理绝对值。事实是-即使您不输入Enter,Google服务器也确实会知道您的密码。然后,Google可以处理这些数据。但是,在这种情况下,产生实际后果的机会并不大。您是否认为这是“巨大威胁”还是“放松的理由”取决于个人的状况-他们必须失去的东西,在安全性和隐私方面严格或随意的人等。

–拉斐尔·阿尔梅达(Rafael Almeida)
16年4月29日在19:59

@BenJunior您错过了答案的问题所在。您声明“不可能”。考虑到问题是“是否已记录?”您是因为未按OP按下Enter键,所以尚未将密码设置为Google。我认为我们已经证明这完全是错误的。您现在正在争论“是否已记录不重要”,这是完全不同的答案。因此,您的答案和论点是分离的,有点荒谬。

– schroeder♦
16年4月30日在4:57