¿Debo tener cuidado al ingresar contraseñas incorrectas en sitios web no confiables?

Navega tus respuestas
2

Tengo el problema de que generalmente uso 4 contraseñas que uso con bastante frecuencia. Utilizo las dos primeras contraseñas seguras para servicios muy importantes (por ejemplo, correo electrónico, PayPal, ...), y las otras dos no tan fuertes para servicios no tan importantes. El problema viene cuando olvido la contraseña de algo que no recuerdo lo importante que fue para mí.

Si ingresé todas mis cuatro contraseñas (de la más débil a la más fuerte) en ese sitio web y aún no obtuve acceso, ¿qué tan preocupado debería estar de que un sitio web almacene todos mis intentos y usos fallidos Esas contraseñas en mi contra de alguna manera? ¿Es esto un serio problema de seguridad para mí?

    
pregunta M.C. 06.07.2013 - 14:46
fuente

3 respuestas

7
  

Tengo el problema de que normalmente uso 4 contraseñas que uso con bastante frecuencia.

Todos tus otros problemas se derivan de esto. Si le preocupa la seguridad (y debería estarlo), entonces deténgala .

  

¿Es esto un problema de seguridad para mí?

Definitivamente, sí.

Si este sitio en particular revela su información o si uno de sus sitios "importantes" se piratea, esta técnica suya puede perjudicarle seriamente. Los piratas informáticos esperan que reutilice las contraseñas en otros sitios, por lo que definitivamente buscarán este comportamiento y definitivamente intentarán explotarlo. Su plan de tener una contraseña para sitios "importantes" y uno para sitios "no importantes" también es común, por lo que los piratas informáticos también lo esperarán.

Debe usar contraseñas diferentes y únicas para todos los sitios que le interesan. Una contraseña utilizada en PayPal y en ninguna otra parte, una para cada cuenta de correo electrónico y en ninguna otra parte, etc.

Recomiendo encarecidamente utilizar una herramienta como KeePass o LastPass. Ambos se basan en el cifrado del lado del cliente, por lo que ningún tercero podrá ver ningún secreto.

    
respondido por el tylerl 06.07.2013 - 19:11
fuente
2

Yo diría "no mucho", ya que las contraseñas incorrectas casi nunca se almacenan: a menos que haya fallado para obtener el inicio de sesión, la contraseña que estaba correcta suele ser muy Un poco de información más jugosa para agarrar.

Se recomienda no guardar las contraseñas incorrectas en los registros, etc., ya que pueden revelar la contraseña real , incluso si ingresó SqueamishOsprey , un humano podría adivinar la contraseña real, y con cosas como THX138 , una computadora podría hacerlo solo ejecutando una clasificación de Levenshtein en un diccionario de contraseñas.

Una contraseña incorrecta suele ser:

  • la contraseña correcta, mal escrita (la mayoría de los casos en mi experiencia)
  • una contraseña que era correcta pero ahora ha caducado.
  • una contraseña antigua que ya no es relevante, y nunca fue ni siquiera

Su caso,

  • una contraseña actual para otro servicio

es, creo, incluso más baja en probabilidad. Cualquier persona que intente capturar contraseñas lo haría después de haber sido validado, o se esforzará por recopilar información sobre su validez en el sistema que , para reducir la carga de tratar con falsos contraseñas Al hacerlo, descartarían el tuyo.

Sus escenarios de riesgo son, entonces, creo:

  • la contraseña incorrecta se registra en texto claro y el atacante logra recuperar el texto claro, pero no o no se da cuenta de que la contraseña correcta en ese sistema es otro .
  • la contraseña incorrecta se captura (junto con las correctas) y se envía para su explotación, incluso si dicha explotación sería mucho más poderosa y / o rápida si eliminara las contraseñas incorrectas en primer lugar (esto podría suceder, por ejemplo, si un sitio web explotado se acoplara a una red de explotación distribuida. La rapidez en la explotación superaría la necesidad de precisión).
  • la interceptación de la contraseña se realiza de tal manera que el atacante no tiene forma de saber si es buena o está mal escrita. Él tiene que probarlos todos. De alguna manera, la misma intercepción también proporciona suficientes detalles sobre su identidad para permitir la selección de otros servicios viables a los que pueda acceder.
  • el ataque se dirige a usted (oa todos los usuarios de un sistema pequeño); en ese caso, la contraseña cualquier servirá y ninguna se descartará. No hay necesidad de rapidez ya que el grupo de víctimas es extremadamente pequeño.

Personalmente, creo que todo el escenario anterior es bastante improbable. Por supuesto, su evaluación puede ser diferente, dependiendo de quién sea usted, cuál sea su valor neto, dónde trabaja, etc., todas las cosas que no preguntaré, en caso de que tenga la posibilidad de matar. yo :-)

    
respondido por el LSerni 06.07.2013 - 15:56
fuente
2

Si hay una manera de vincular la cuenta de su sitio web no confiable (Sitio A) a la cuenta de su sitio web confiable (Sitio B) y está ingresando la contraseña del Sitio B en el formulario de inicio de sesión del Sitio A, entonces puede estar comprometiendo su Sitio B cuenta. Esto podría ser por una de muchas razones, pero aquí están las más comunes:

  • Rogue Site A operadores que están registrando intencionalmente todas las entradas de contraseña.
  • el sitio A incompetente que involuntariamente está registrando contraseñas.
  • El sitio A no está usando HTTPS. (más probable)

Tengo cuentas ocasionales en casi 50 foros, y solo uno o dos de ellos usan HTTPS para sus formularios de inicio de sesión. Si alguien quiere obtener su cuenta de PayPal / correo electrónico, MiTM y lo olfateará cada vez que Pueden recolectar tanta información como puedan. La contraseña del sitio B está en algún lugar enviada en texto sin formato. No es una buena cosa TIM

Deshazte de todo este dolor de cabeza con un administrador de contraseñas como KeePass .

    
respondido por el Adi 06.07.2013 - 16:26
fuente

Lea otras preguntas en las etiquetas

Demuestre que eliminó el archivo ¿Incluir el nombre de usuario en una contraseña lo hace menos seguro?