Si ingreso una contraseña en el sitio equivocado, ¿debería considerarlo comprometido?

Navega tus respuestas
75

Recientemente he comenzado a utilizar un administrador de contraseñas y buenas prácticas de contraseña. Tengo una contraseña diferente para cada sitio que uso.

Si accidentalmente utilizo la contraseña de otro sitio al iniciar sesión en una página web, ¿debo considerar la contraseña comprometida y cambiarla?

Por ejemplo,

  • Si mi contraseña para www.example.com era passwordOne
  • Y mi contraseña para www.ejemplo.com era contraseñaUno
  • Y accidentalmente intento iniciar sesión en www.example.com con la contraseña contraseñaUno

¿Necesitaría actualizar la contraseña de www.ejemplo.com?

Puedo ver una pregunta similar pero diferente here , pero eso se relaciona con la contraseña que se ingresa en el campo de nombre de usuario.

    
pregunta JonnyWizz 12.11.2015 - 15:30
fuente

10 respuestas

48

Solo para interpretar al defensor del diablo ...

Es tan probable que se vea comprometido como si estuviera usando la misma contraseña en ambos sitios *.

Como ha señalado la mayoría de las personas, probablemente no tenga que preocuparse. No tanto porque un sitio web no puede hacer la diferencia entre una contraseña buena o incorrecta, sino porque la mayoría de los sitios web que visitará probablemente no registrarán su contraseña. La razón es simplemente que no les proporciona ningún valor. La mayoría de los sitios web están ahí para hacer negocios legítimos y, por lo tanto, no tienen valor en ser maliciosos al registrar cada contraseña ingresada.

Aun así, si tuviera una mala intención y quisiera reunir muchas contraseñas posibles, alojar un servicio en línea para recopilarlas sería probablemente una mejor alternativa que intentar forzar la fuerza bruta en todas las combinaciones posibles. Capturar todas las contraseñas, incluso las malas, no es una mala idea si está hospedando ese tipo de "servicio". Es muy probable que los usuarios que tienen múltiples contraseñas ingresen las contraseñas incorrectas en el sitio incorrecto, por lo tanto, registrar un mal intento y un buen intento es un buen plan de ataque.

Por ejemplo, considere esta cita de enlace

  

Este sitio podría estar robando su contraseña ... no lo es, pero podría serlo fácilmente.
  Tenga cuidado al escribir su contraseña.

Puso las cosas en perspectiva. Además, ¿es tan improbable un "servicio" tan malo? Es difícil de decir, pero seguro que no es nada nuevo: enlace

Nota * : Bueno, dije "lo más probable" pero no es exactamente cierto. Al usar la misma contraseña en muchos sitios, no solo es vulnerable a los sitios maliciosos, sino también a la incompetencia de los propietarios de los sitios. Muchos sitios web aún almacenan su contraseña en texto sin formato en su base de datos o utilizan un hash débil, lo que significa que si un atacante puede robar su base de datos, su contraseña se verá comprometida.

    
respondido por el Gudradain 12.11.2015 - 17:34
fuente
36

Probablemente esté bien, no hay una distinción particular entre una contraseña incorrecta para el sitio correcto y una contraseña correcta para el sitio incorrecto. Incluso si existiera, el sitio que recibió la contraseña incorrecta no sabría en qué sitio se debía utilizar.

Y eso es antes de considerar que sería poco común registrar contraseñas para intentos de inicio de sesión fallidos.

No es perjudicial cambiarlo, pero a menos que use el nombre del otro sitio como contraseña, parece poco probable que alguien pueda hacer uso de la información.

    
respondido por el Matthew 12.11.2015 - 15:39
fuente
26

Aunque imagino que la mayoría de los desarrolladores web sanos no registrarían las versiones de texto claro de los intentos fallidos de contraseña, todavía es posible. Si desea estar en el lado seguro, puede considerar que está comprometido y restablecer esa contraseña; sin embargo, personalmente no lo consideraría realmente un problema a menos que sintiera, más allá de toda duda razonable, que el primer sitio podría potencialmente presentar un riesgo para mí.

    
respondido por el d0nut 12.11.2015 - 15:34
fuente
19

El único caso en el que cambiaría esta contraseña es si el sitio que protege es sustancialmente más importante para usted que el sitio en el que lo escribió.

Por ejemplo, hay personas en el mundo que tienen acceso a sistemas en los que estarían interesados los actores del estado-nación. Si esas personas escribieran su contraseña importante en algún otro sitio, deberían cambiarla de inmediato.

    
respondido por el kd8azz 12.11.2015 - 16:46
fuente
9

Trate la contraseña como comprometida . Nadie puede asegurarte que

  • el sitio no tiene administradores de sistemas maliciosos.
  • las contraseñas hash o cifradas del sitio.
  • carecen de vulnerabilidades de inyección de SQL que permite recuperar datos, incluidos los nombres de usuario / correos electrónicos / contraseñas.
  • cualquier persona que acceda a esta información se atreverá a probar la intrusión en otros sitios y tendrá tanta mala suerte que la golpearán.

Mientras exista la mínima posibilidad de que alguna o todas las anteriores sean ciertas, tienes una contraseña comprometida.

Como regla general, la contraseña desaparecida, la contraseña no es válida. Cámbiala y duerme.

Otro historial diferente es si realmente quieres perder tu tiempo cambiando una contraseña que no protege nada (por ejemplo, un blog vacío, una cuenta de correo electrónico inútil, ...) o tu cuenta bancaria.

    
respondido por el null_pointer 12.11.2015 - 18:53
fuente
7

El término "comprometido" no es un binario sí o no. Es un concepto que mide quién tiene acceso a una cuenta y cuánto pueden contrastar sus objetivos con los suyos.

En este caso, suponga que cualquier persona que haya tenido acceso a los inicios de sesión en www.example.com ahora tiene su contraseña. Esto incluye a cualquiera que haya pirateado www.example.com y cualquier empleado en el que confíe el liderazgo de www.example.com con suficiente acceso para obtener contraseñas de los usuarios (tal vez un puñado de DBA).

Eso es todos los datos. Vete de ahi Si usó una contraseña utilizada para salvaguardar la información clasificada en un foro, debe tratarla como comprometida de inmediato, ya que ese nivel de exposición es inaceptable para una cuenta tan privilegiada. Si usaste la contraseña de un foro en otro, probablemente no sea el mayor problema.

En el medio, puede considerar el caso en el que utilizó la contraseña de su cuenta bancaria en un foro. Esa es un área gris que depende completamente de su modelo de amenaza personal.

    
respondido por el Cort Ammon 12.11.2015 - 18:17
fuente
7

  • Si el sitio (bueno, la persona detrás de él) es malicioso, agregará la contraseña fallida a la lista de cosas que sabe sobre usted y ciertamente considerará la táctica de probarla en cualquier otra cuenta. sabe sobre Como tal, debes considerarlo comprometido.

  • Si el sitio es incompetente, entonces de alguna manera podría filtrar su contraseña fallida. Pero si lo hace, también estará perdiendo un lote de errores tipográficos de sus propias contraseñas, lo que es realmente serio para ellos. Por lo tanto, tiene que ser realmente bastante incompetente.

  • Si el sitio es básicamente normal, entonces está bien, no mantendrá ningún registro de las contraseñas fallidas (o las exitosas, en este caso, aparte del registro de hash y salado).

Tenga en cuenta que los sitios que se han visto comprometidos pueden considerarse maliciosos de forma razonable.

Por lo tanto, debe considerar el equilibrio entre el riesgo de que sean muy maliciosos o muy incompetentes o muy pirateados, y el costo asociado de la contraseña que se está comprometiendo, en comparación con el costo para usted de cambiar esa contraseña.

Si teme que el riesgo pueda ser importante, cambie la contraseña. Esto suele ser muy fácil cuando se usa un administrador de contraseñas, no es como si tuvieras que aprender el nuevo. Sin embargo, es muy probable que su esfuerzo sea innecesario, ya que la mayoría de los sitios web son "básicamente normales" la mayor parte del tiempo.

También debes pensar detenidamente acerca de lo que llevó al error. El hecho de que ingresó sus credenciales en el "sitio equivocado" es un error comprensible, pero asegúrese de que no esté sistemáticamente fallando en verificar correctamente la identidad de los sitios antes de ingresar las credenciales. vulnerable allí.

    
respondido por el Steve Jessop 13.11.2015 - 04:42
fuente
2

Si ha ingresado la contraseña del sitio web A en el sitio web B,

Considera algunos aspectos- ¿Qué tan confiable es la Web B? ¿Es Web B una corporación reconocida que cumple con los estándares del mercado? ¿Los contenidos de la web A son realmente vulnerables? ¿Hay alguna forma de adivinar a partir de la contraseña a qué sitio web pertenece?

Si está confundido con alguna de estas preguntas, simplemente cámbielo.

Nunca sabrá si WebManager / SysAdmin está almacenando la contraseña como texto sin formato o cifrado decodificable en el servidor, o si lo está asegurando mediante hash de una manera.

    
respondido por el Shubhradeep Mallik 13.11.2015 - 15:24
fuente
1

¿Fue el sitio donde ingresaste la contraseña incorrecta facebook.com?

enlace

  

Mark usó su sitio, TheFacebook.com, para buscar miembros del sitio que se identificaron como miembros del Crimson. Luego examinó un registro de inicios de sesión fallidos para ver si alguno de los miembros de Crimson había ingresado alguna vez una contraseña incorrecta en TheFacebook.com. Si en los casos en los que ingresaron inicios de sesión fallidos, Mark intentó usarlos para acceder a las cuentas de correo electrónico de Harvard de los miembros de Crimson. Accedió con éxito a dos de ellos.

    
respondido por el Adrian Panasiuk 16.11.2015 - 10:30
fuente
0

Vamos a equipar nuestro [Tinfoil Hat] legendario.

¿Los sitios web pueden registrar mis contraseñas?

Supongamos que el sitio web hizo su hash correctamente. Cuando inicia sesión en un sitio web, pueden tomar su contraseña de texto simple y compararla con el hash almacenado. Si la contraseña coincide con el hash almacenado en la base de datos, le permitirá autenticarse. De lo contrario, le informará que su contraseña no es válida.

¿Y qué?

Bueno, sucede que cualquiera con un mínimo de conocimientos de programación podría registrar contraseñas no válidas agregando una nueva línea a un método de autenticación para cualquier tipo de sitio web ... Incluso si es un popular portal de código abierto, un foro o cualquier tipo de paquete. Siempre que la fuente pueda ser modificada, uno puede cambiar lo que quiera, así: 

private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
    if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
    {
        AuthenticateMyFace();
    }
    else
    {
        Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
        InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
    }
}

De hecho, un programador podría hacer este hash antes para todo lo que tenga que ver con las contraseñas. No hay nada que impida que alguien lo haga.

Gestión de riesgos

Aquí hay algunas preguntas para considerar:

  1. ¿Te importa la integridad de cualquiera de las cuentas?
  2. ¿Se está utilizando el mismo correo electrónico en ambas cuentas?
  3. ¿Utiliza la misma contraseña tanto para el correo electrónico como para los sitios web en cuestión (espero que no)?

Si la respuesta es sí a 1-3, recomendaría cambiar su contraseña. A menos que no te importe.

Ahora que hemos demostrado que esto es posible en todos los frentes, ¿deberías tener miedo de tal ataque? Yo no me preocuparía por eso. Si está preocupado, entonces probablemente debería usar algo como KeePass para administrar las credenciales del sitio web para que no tenga que preocuparse legítimamente.

    
respondido por el Mark Buffalo 28.01.2016 - 23:43
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el propósito de (ab) usar la página de redireccionamiento de mi sitio web para URL dudosas? ¿Qué es peor para la seguridad de la contraseña, una política de contraseña deficiente o ninguna política de contraseña?