¿Debo preocuparme si accidentalmente ingresé mi contraseña en un campo de nombre de usuario?

Navega tus respuestas
30

Ocasionalmente no podré golpear la pestaña correctamente cuando ingrese una combinación de nombre de usuario / contraseña. Esto me lleva a enviar el nombre de usuario "myUsername $ ecretPa $$ word" junto con una contraseña en blanco. Siempre trato de cambiar mi contraseña poco después de hacer esto, por temor a que sea completamente posible que alguien que mantiene el sitio esté logrando intentos fallidos de inicio de sesión. Parece razonable que alguien (incluso un administrador preocupado por la seguridad) considere que el registro de los nombres de usuario sea útil y seguro. Pero si esto sucede, mi contraseña se almacenará en algún registro no cifrado en algún lugar, junto con mi nombre de usuario.

¿Es esta una preocupación razonable? ¿Estoy siendo demasiado paranoico?

    
pregunta loneboat 25.09.2015 - 23:47
fuente

4 respuestas

31

La respuesta corta es que es muy probable que su nombre de usuario y contraseña concatenados existan en un registro no cifrado en algún lugar al que un grupo más grande de personas tenga acceso a los registros restringidos.

No estás paranoico para cambiar tu contraseña y debes cambiarla cuando esto suceda.

    
respondido por el schroeder 26.09.2015 - 01:32
fuente
15
  

Pero si esto sucede, mi contraseña se almacenará en algunos no cifrados   iniciar sesión en algún lugar, junto con mi nombre de usuario.

     

¿Es esta una preocupación razonable?

Sí.//strong>

  

¿Estoy siendo demasiado paranoico?

Depende .

Si su preocupación es sobre la contraseña almacenada, entonces absolutamente no lo es. Su contraseña se se almacenará de forma clara y casi segura. Ser consciente de la realidad y las prácticas actuales no es paranoia.

Preocuparse por el daño que puede causar la contraseña filtrada, de ahí el cambio de contraseña, es otro asunto. Allí, usted podría ser un poco paranoico ... pero, nuevamente, no, dependiendo de su política general de contraseñas y del tipo de sitios que normalmente visita y filtra su contraseña.

Hay dos factores atenuantes:

  1. El archivo de registro casi ciertamente no será visto por nadie más que por los administradores (si es que alguna vez lo hace). Probablemente ya tengan los medios para suplantarte a ti (es decir, iniciar sesión como tú, incluso sin saber tu contraseña) y robar tu contraseña, incluso si el sitio web debería almacenarla en forma encriptada. Además, a menos que se trate de un sitio de ejecución aspirante, los administradores están realmente atados y no pueden, por ejemplo. simplemente navega por los registros para divertirte. Por lo general, hay filtros de primer nivel que envían una parte del registro y el motivo de la alerta; Esto principalmente para reducir el tiempo dedicado a la comprobación de los registros. Su inicio de sesión fallido ni siquiera debería provocar una alerta de bajo nivel.

  2. Estoy bastante seguro, dada su conciencia de seguridad, que su contraseña supersecreta no se reutiliza en varios sitios. Por lo tanto, incluso si se filtrara, no sería una gran travesura.

El principal peligro de las contraseñas filtradas en el mismo sitio en el que se usan es que pueden proporcionar información o acceso directo a otro sitio debido a reutilización de contraseña . Un administrador que se mantuvo honesto solo por el conocimiento de que un acceso en su sitio su sería rastreado de inmediato hacia él, podría sentirse más enérgico hacia un sitio de terceros que él no administra y donde no se conoce.

Por lo tanto, si fuera un administrador así, sabiendo que su contraseña en mi sitio es loneboat3 probablemente me haría probar loneboat y loneboat0 hasta loneboat9 en su sitio bancario.

Y en tu caso, sospecho que este peligro es insignificante.

Dicho esto, creo que cambiar una contraseña tan pronto como creas que se ha visto comprometida es un hábito muy bueno de no tener en cuenta.

    
respondido por el LSerni 26.09.2015 - 01:48
fuente
-2

Como dijo la respuesta anterior, no está en peligro desde el propio sitio, ya que el sitio ya tiene su contraseña del campo de contraseña, después de todo tiene que verificar quién es usted.

Para mencionar la contraseña en el registro en texto plano, hay innumerables líneas en ese registro potencial, y un atacante potencial del servidor tiene que buscar en ese registro para encontrar la contraseña potencial y también saber que es una contraseña , entonces, de alguna manera, el atacante debe hacer coincidir la contraseña con un nombre de usuario y, si tiene éxito, el atacante tendrá UNA información de inicio de sesión. Si yo fuera ese atacante, invertiría mi tiempo y mi esfuerzo en la propia base de datos, ya que no atacé el servidor web para robar algunos archivos de registro.

Podría estar en peligro de revelar su contraseña si alguien está monitoreando su pantalla, pero en este caso, el problema es mucho mayor que esta contraseña, ya que el software espía que controla la pantalla compromete a toda la PC.

También, hay compañías en las que se monitorean las computadoras y si un trabajador de una de esas PC lo hace, el administrador del sistema puede ver la contraseña. Pero como puede ver, hay muchos "si" aquí.

    
respondido por el Rudy 26.09.2015 - 00:55
fuente
-3

No. Si se trata de un sitio confidencial (financiero, autorización de seguridad, etc.), cambie su contraseña, pero básicamente no hay posibilidad de que alguien malintencionado haya recogido su contraseña. La mayoría de los formularios no envían datos hasta que se envían, y si se enviaron, lo más probable es que haya un registro guardado en algún servidor que lo vea como un intento de inicio de sesión no válido para una cuenta que no existe. Para que sea un riesgo para la seguridad, los registros tendrían que existir (no una garantía) un pirata informático tendría que obtener acceso al servidor en el que se encuentran esos registros antes de que el mantenimiento los borre, y luego verifique la gran cantidad de intentos fallidos de inicio de sesión y date cuenta de que la tuya era tu contraseña, y entonces él también tendría que saber cuál es tu nombre de usuario. Esto es extremadamente improbable, especialmente si eres un objetivo de bajo valor. Paris Hilton siempre tendrá más de qué preocuparse que John Smith.

    
respondido por el theinvisibleduck 26.09.2015 - 00:22
fuente

Lea otras preguntas en las etiquetas

Asegúrese de que solo las aplicaciones autorizadas acceden al servicio web ¿Las reglas de complejidad de las contraseñas son contraproducentes?