¿Son las contraseñas parcialmente escritas un riesgo de seguridad potencial?

El espionaje corporativo es una cosa.

podría existir un riesgo de seguridad si alguien te ha visto escribir tu contraseña o adivina los dos últimos caracteres. No es tan difícil notar las pulsaciones de las personas y recordarlas de manera subconsciente, especialmente las últimas teclas.

En el caso del espionaje corporativo, alguien podría querer ver cómo ingresa su contraseña y puede que la recuerden.

  ¿

o tal vez guardar el estado para poder seguir intentando desde ese punto parcialmente completado?

Debes admitir que, dadas las circunstancias, esto parece ser un juego de sombreros de papel de aluminio de siguiente nivel. Puedo imaginarme a un tipo con un traje gris caminando hacia su escritorio, buscando el disco de la máquina virtual de más de 20 GB, más los datos de configuración que lo acompañan en un par de minutos, y llevarlo a un cubículo de mala muerte en la esquina de la oficina, luego forzadamente brutal mientras cacarea maniáticamente:

Quitemoslaláminaporunsegundo.Siestáejecutandounamáquinavirtual,entoncesesbastanteposible.Podríaguardarelestadodelamáquinavirtualenesepuntoyseguirintentándolo.Laprobabilidaddequeestolesucedaaustedduranteunapausaparaelcaféesprácticamentenula.Lomismoconelestadodelaaplicación,peronotanimprobablecomounamáquinavirtual.

Conlamáquinavirtual,uncompañerotendríaquecopiarelcontenidodesudiscodurovirtual,máslasconfiguracionesqueloacompañan,ymontarlo.Másqueprobable,estoseríamásde20GB.Copiarestediscovirtualentanpocotiempomientrasotraspersonasestáncercaparecebastanteimprobable.

Alguiennotaráalgo.

¿Quésucedesisetratadeuniniciodesesióndepáginawebenlugardeunaaplicacióndeescritorio?

Pongámonosnuestrossombrerosdepapeldealuminioyveamosquépodemoshacerpararecuperarlacontraseñaparcialmenteescritautilizandosololasherramientasdisponibles.Póngaseenloszapatosdelatacante:¿cómoobtendríarápidamentelacontraseñaantesseterminóeldescanso?

1. Usandolaconsoladedesarrollador,puedesmodificarlapáginawebparacambiaresto:

   <inputtype="password" name="pass" id="password"/>
   

   A esto:

   <input type="text" name="pass" id="password"/>
   

   (Se eliminó jQuery según lo sugerido por Doyle Lewis )

2. También podemos obtener los valores a través de la entrada de la consola: puede utilizar una variación de estos ( F12 > Consola > Ingrese la entrada ):

   • console.log($("#password").val()); (jQuery)
   • console.log(this.pass.val);
   • console.log(document.getElementById("password").value); (dom)

3. Al parecer, Windows 8 y Windows 10 Enterprise tienen un icono de "ojo" que le permite revelar la contraseña de texto sin formato al mantener presionado el botón de ojo . Esto se convierte en una amenaza aún mayor cuando alguien más puede simplemente hacer clic en ese botón, evitando todo el esfuerzo utilizado en los ejemplos anteriores.

Pero, ¿por qué sería esto un riesgo potencial para la seguridad?

Reequipando nuestro [Tinfoil Hat (Mythic Warforged)] , asumamos el peor de los casos:

Con su nombre de usuario y contraseña, en un entorno empresarial donde definitivamente no es difícil encontrar su nombre de usuario (por lo general, su identificación de identificación o nombre de usuario de correo electrónico), un colega malintencionado puede intentar hacerse pasar por usted en la red. Por ejemplo:

1. Su empresa tiene acceso a WiFi que requiere el número de identificación y la contraseña de su empleado para iniciar sesión.
2. Un colega malicioso inicia sesión en la red corporativa usando sus credenciales , en un dispositivo no autorizado, y luego causa estragos / roba cosas sin que eso los lleve de vuelta a ellos. La mayoría de las políticas de seguridad deben requerir el registro del dispositivo primero, pero desafortunadamente hay maneras de evitarlo.
3. Te culpan. Parece que lo hiciste. Y el espía que arruinó las cosas puede escaparse de forma gratuita .

¿Cómo me protejo contra esto?

Este muy poco probable, pero posible ataque, y muchos otros ataques que requieren acceso físico a su máquina (sin incluir las infecciones basadas en hardware), se mitigan completamente al bloquear su estación de trabajo antes de levantarse y no ingresar contraseñas parciales. Haz de este tu hábito, y no tendrás que preocuparte por que alguien haga algo como esto.

Sin embargo, no te pongas complaciente.

Además de las otras respuestas, mientras estabas fuera, instalé un keylogger en tu teclado.

A corto plazo, tengo los últimos 2 caracteres de su contraseña. Podría usar eso para reducir considerablemente el espacio de búsqueda para un ataque de fuerza bruta.

Pero soy perezoso y un pensador a largo plazo. Voy a esperar hasta que vuelvas a iniciar sesión y tendré tu contraseña completa.

Como se señaló en los comentarios, algunas versiones de Windows tienen un símbolo de "ojo" en el que se puede hacer clic para mostrar lo que has escrito en el cuadro de contraseña.

Si deja seis de sus caracteres en el cuadro de contraseña de la pantalla de bloqueo, solo se necesita un clic en el ojo para exponer el texto sin formato. Esto no significa que el atacante sabría cuánto tiempo tiene su contraseña, pero sí que debilitaría la seguridad de su contraseña porque los primeros seis caracteres están expuestos.

Puedo confirmarlo, Windows 10 Enterprise sí tiene este ojo.

Las aplicaciones almacenarán internamente los bits de contraseña que ya ha escrito. Algunos de ellos pueden hacerlo de manera que el atacante pueda recuperarlos. Por ejemplo, discutimos en una pregunta anterior cómo un usuario puede imprimir las contraseñas escritas en Internet Explorer en la consola de IE.

Además de eso, existe el riesgo de que alguien adivine los caracteres faltantes (como lo señala @MarkBuffalo) ya que muchas contraseñas tienden a terminar con símbolos o números especiales (muy específicamente, muchas contraseñas terminan con "1"). Si ha sido observado anteriormente, o si un atacante tiene conocimiento previo de una contraseña suya, podría completar su contraseña parcialmente escrita.

Potencialmente, sí. Más aún si la gente lo ha visto escribirlo anteriormente y, por lo tanto, ha visto desde dónde sacó el teclado de sus dedos.

Para un formulario web, básicamente debe asumir que cualquiera que pueda modificar la página web puede ver su contraseña, ya sea cambiando el campo de la contraseña a un tipo de texto, controlando qué caracteres se presionan (JS keylogger, en efecto) O, para los navegadores más antiguos, simplemente mirando las propiedades del campo de contraseña en el inspector incorporado (la mayoría de los navegadores modernos parecen restringir la visualización del contenido escrito en los campos de contraseña, como algo de seguridad, aunque aún revelarán lo que sea). enviado en el atributo de valor, ya que cualquiera que vea la fuente de la página puede ver eso.

También confirma su nombre de usuario: es poco probable que se moleste en escribir la mayoría de su contraseña en la pantalla de nombre de usuario incorrecta para una computadora compartida. Dependiendo de su configuración, esta podría ser información confidencial.

Esto es casi seguro que depende de lo que hayas iniciado sesión. Por ejemplo, si se tratara de un formulario web, sería fácil escribir algo de Javascript en la consola del desarrollador para obtener el valor actual del campo de contraseña sin generar sospechas.

Compare esto con si lo estuviera escribiendo en su pantalla de inicio de sesión de Windows, donde no hay una consola de fácil acceso para escribir comandos para extraer el valor. En el peor de los casos, si nadie te vio escribir la primera parte de tu contraseña es que alguien te vea escribir los últimos dos caracteres de forma independiente (probablemente sea menos probable que se escriban con fluidez y sea más fácil de discernir) o intenta la contraseña sabiendo que solo hay dos caracteres a la izquierda (la longitud es la calidad más fácil de obtener de una contraseña) como una conjetura y si fallan, también existe poco riesgo para ellos.

Técnicamente, usted y sus colegas y empleadores lo han puesto en riesgo de sufrir un ataque. Los 6 dígitos del solo ya son suficientes para que algunos tengan una idea general del formato utilizado (si la empresa requiere un formato de contraseña). Además, un espía corporativo podría ver el 6 de 8 y simplemente configurar un ataque de fuerza bruta para solo descifrar los últimos 2. Sin embargo, en el caso de que un ataque potencial no conozca la longitud de la contraseña, será más difícil descifrarla, ya que son muchas combinaciones.