Accedí accidentalmente a la contraseña de un sitio web como nombre de usuario de otro sitio web

Question

Accedí accidentalmente a la contraseña de un sitio web como nombre de usuario de otro sitio web

#1 de Mike Ounsworth (15 votos)
#2 de R.. (6 votos)

7

En primer lugar, lamento haber publicado de forma anónima por motivos de seguridad. Exponer mi identidad puede significar exponer mi vulnerabilidad, que se deriva del problema descrito a continuación.

Tengo cuentas en los sitios web A1, A2, A3, etc. con la contraseña X o derivada de X en algún patrón.

Al registrarme en el sitio web B, accidentalmente ingresé X en el campo de nombre de usuario. El flujo de registro fue: ingresé mi dirección de correo electrónico, hice clic en el enlace del correo electrónico que enviaron y luego me pidieron un nombre de usuario, que confundí con un campo de contraseña. No pidieron ninguna otra información, así que justo después de ingresar X como nombre de usuario, me registré.

El problema es:

X, mi contraseña para A1, A2, A3, ... etc se almacena en texto sin formato, y
en el sitio web B, el nombre de usuario es público, lo que significa que todos pueden ver X.

Una solución obvia es cambiar mis contraseñas para A1, A2, A3, ... etc. Sin embargo, solo se puede hacer a sitios web que recuerdo. Puede que pierda muchos sitios web en los que tengo una cuenta.

El sitio web B no parece tener un mecanismo para cambiar el nombre de usuario o eliminar una cuenta. He intentado contactarlos, sin embargo hay problemas con eso:

El soporte técnico afirma no entender mi explicación del problema
Es posible que existan algunas restricciones que les impidan cambiar mi nombre de usuario o eliminar mi cuenta.

¿Hay alguna solución posible para esto?

passwords password-management user-names

pregunta anonymous 15.12.2017 - 21:00

fuente

2 respuestas

Lea otras preguntas en las etiquetas passwords password-management user-names

¿Por qué asegurar la consistencia de los datos cifrados mediante hash fuerte? Contraseña encriptada dentro del archivo comprimido

score 15 · Answer 1

Eso apesta. No puedo pensar en ninguna otra solución posible más allá de las que enumeró:

1) Manténgase en el soporte técnico para eliminar la cuenta (eliminar completamente de todas las bases de datos). Esta es probablemente tu opción más limpia.

2) Ir cambiando tu contraseña en todas partes. Reconozco que esto es una molestia, y es poco práctico / imposible para los sitios web en los que no recuerda tener una cuenta.

La razón principal para publicar una respuesta es resaltar su desafortunada situación como una advertencia para todos los demás:

UTILICE UN ADMINISTRADOR DE CONTRASEÑAS !!!!!!!!!!!!!!

Esta situación se hubiera evitado por completo si hubiera estado usando un administrador de contraseñas para todas sus cuentas.

Si has pegado una contraseña aleatoria recién creada en el campo del nombre de la cuenta, debes hacer "oops", generar una nueva contraseña aleatoria e iniciar el registro de la cuenta nuevamente (o vivir con un nombre de usuario como huWb9EIaemGZqVsp3aYV ).

Incluso si, por algún motivo, no le gustan las contraseñas aleatorias por cuenta y reveló una contraseña utilizada por varias cuentas, su administrador de contraseñas es una lista de todas sus cuentas, que le proporciona una buena lista de las que está usando esa contraseña y necesita ser limpiada.

Finalmente, dirijámonos:

Tengo cuentas en los sitios web A1, A2, A3, etc. con la contraseña X o derivada de X en algún patrón.

Su situación es un gran ejemplo de por qué "una contraseña derivada de X en algunos patrones" es esencialmente equivalente a "una contraseña X".

Desearía que las personas dejaran de intentar ser inteligentes con los patrones, y que solo usaran contraseñas aleatorias adecuadas. (claro, los administradores de contraseñas tienen problemas de usabilidad, pero son mucho menos riesgosos que los trucos basados en memoria)

score 6 · Answer 2

Su contraseña X en el sitio A1 se vio comprometida no cuando la envió accidentalmente como nombre de usuario al sitio B , sino en cuanto la envió como contraseña al sitio A2 y, además, cuando lo envió al sitio A3 , etc. Cualquier intento de obtener el sitio B para eliminarlo simplemente aumenta la exposición al repetirlo en correos electrónicos, tickets de soporte, etc .; no deshará la exposición en el sitio B mucho menos en A2 , A3 , etc.

El único curso de acción para remediar esto es cambiar su contraseña en todos estos sitios a algo único en el sitio, preferiblemente generado aleatoriamente y almacenado con un administrador de contraseñas. Si no conoce todos los sitios en los que reutilizó la contraseña X , al menos debe determinar cuáles tienen cuentas de importancia suficiente para que el compromiso pueda causarle un daño significativo y cambiarlos.