web-dev-qa-db-fra.com

Si j'entre un mot de passe sur le mauvais site, dois-je le considérer comme compromis?

J'ai récemment commencé à utiliser un gestionnaire de mots de passe et de bonnes pratiques de mots de passe. J'ai un mot de passe différent pour chaque site que j'utilise.

Si j'utilise accidentellement le mot de passe d'un autre site lorsque je me connecte à une page Web, dois-je considérer que le mot de passe est compromis et le changer?

Par exemple.

  • Si mon mot de passe pour www.example.com était passwordOne
  • Et mon mot de passe pour www.ejemplo.com était contraseñaUno
  • Et j'essaie accidentellement de me connecter à www.example.com avec le mot de passe contraseñaUno

Aurais-je besoin de mettre à jour le mot de passe pour www.ejemplo.com?

Je peux voir une question similaire mais différente ici , mais qui concerne le mot de passe entré dans le champ du nom d'utilisateur.

passwordspassword-managementpassphrase
76
JonnyWizz

Juste pour jouer l'avocat du diable ...

Vous êtes aussi susceptible d'être compromis que si vous utilisiez le même mot de passe sur les deux sites *.

Comme la plupart des gens l'ont souligné, vous n'avez probablement pas à vous inquiéter. Pas tant parce qu'un site Web ne peut pas faire la différence entre un bon ou un mauvais mot de passe, mais plutôt parce que la plupart des sites Web que vous visiterez n'enregistreront probablement pas votre mot de passe. La raison en est simplement qu'elle ne leur apporte aucune valeur. La plupart des sites Web sont là pour faire des affaires légitimes et ne voient donc aucune valeur à être malveillants en enregistrant chaque mot de passe entré.

Pourtant, si j'avais une mauvaise intention et que je voulais rassembler de nombreux mots de passe possibles, l'hébergement d'un service en ligne pour recueillir des mots de passe serait probablement une meilleure alternative que d'essayer de forcer brutalement toutes les combinaisons possibles. Attraper tous les mots de passe, même les mauvais, n'est pas une mauvaise idée si vous hébergez ce type de "service". Les utilisateurs qui ont plusieurs mots de passe sont très susceptibles de saisir les mauvais mots de passe sur le mauvais site, donc la consignation des mauvaises tentatives ainsi que des bonnes tentatives est un bon plan d'attaque.

Par exemple, considérez cette citation de https://howsecureismypassword.net/

Ce site pourrait voler votre mot de passe… ce n'est pas le cas, mais cela pourrait facilement l'être.
Soyez prudent lorsque vous saisissez votre mot de passe.

Cela met les choses en perspective. En outre, un tel "service" diabolique est-il si peu probable? C'est difficile à dire, mais ce n'est certainement pas nouveau: https://xkcd.com/792/

Remarque * : Eh bien, j'ai dit "comme probable" mais ce n'est pas tout à fait vrai. En utilisant le même mot de passe sur de nombreux sites, vous êtes non seulement vulnérable aux sites malveillants mais également à l'incompétence des propriétaires de sites. De nombreux sites Web stockent toujours votre mot de passe en texte brut dans leur base de données ou utilisent un hachage faible, ce qui signifie que si un attaquant est en mesure de voler leur base de données, votre mot de passe est compromis.

49
Gudradain

Vous allez probablement bien - il n'y a pas de distinction particulière entre un mauvais mot de passe pour le bon site et un bon mot de passe pour le mauvais site. Même s'il y en avait un, le site qui a reçu le mauvais mot de passe ne saurait pas sur quel site il était censé être utilisé.

Et c'est avant de considérer qu'il serait rare d'enregistrer des mots de passe pour les tentatives de connexion infructueuses.

Aucun mal à le changer, mais à moins que vous n'utilisiez le nom de l'autre site comme mot de passe, il semble peu probable que quiconque puisse utiliser les informations.

37
Matthew

Bien que j'imagine que la plupart des développeurs Web sensés ne consigneraient pas les versions en texte clair des tentatives de mot de passe échouées, il est toujours possible. Si vous voulez être prudent, vous pouvez le considérer comme compromis et réinitialiser ce mot de passe; cependant, personnellement, je ne considérerais pas vraiment cela comme un problème à moins que je ne sois hors de tout doute raisonnable que le premier site pourrait potentiellement présenter un risque pour moi.

26
d0nut

Le seul cas où je changerais ce mot de passe est si le site qu'il sécurise est beaucoup plus important pour vous que le site dans lequel vous l'avez tapé.

Par exemple, il y a des gens dans le monde qui ont accès à des systèmes qui intéresseraient les acteurs des États-nations. Si ces gens devaient taper leur mot de passe important sur un autre site, ils devraient le changer immédiatement.

19
kd8azz

Traitez le mot de passe comme compromis. Personne ne peut vous assurer que

  • le site n'a pas d'administrateur système escroc.
  • le site a des mots de passe hachés ou chiffrés.
  • ils manquent de vulnérabilités d'injection sql qui permettent de récupérer des données, y compris les noms d'utilisateur/e-mails/mots de passe.
  • quiconque accédant à ces données osera tester l'intrusion dans plusieurs autres sites et vous serez tellement malchanceux qu'ils le toucheront.

Tant qu'il existe la mince possibilité que tout ou partie de ce qui précède soit vrai, vous avez un mot de passe compromis.

En règle générale, le mot de passe a disparu, le mot de passe est nul. Changez-le et dormez.

Une autre histoire différente est de savoir si vous voulez réellement perdre votre temps à changer un mot de passe qui ne protège rien (par exemple, un blog vide, un compte de messagerie inutile, ...) ou votre compte bancaire.

9
null_pointer

Le terme "compromis" n'est pas un oui ou un non binaire. C'est un concept mesurant qui a accès à un compte et à quel point leurs objectifs peuvent différer du vôtre.

Dans ce cas, supposez que toute personne ayant pu accéder aux identifiants sur www.example.com dispose désormais de votre mot de passe. Cela inclut toute personne qui a piraté www.example.com et tous les employés auxquels le leadership de www.example.com ferait confiance avec un accès suffisant pour récolter les mots de passe des utilisateurs (peut-être une poignée de DBA).

Voilà toutes les données. Allez-y. Si vous avez utilisé un mot de passe utilisé pour protéger des informations classifiées sur un forum, vous devez le traiter comme compromis immédiatement, car ce niveau d'exposition est inacceptable pour un compte aussi privilégié. Si vous avez utilisé le mot de passe d'un forum sur un autre, ce n'est probablement pas le plus gros problème.

Au milieu, vous pourriez envisager le cas où vous avez utilisé le mot de passe de votre compte bancaire sur un forum. C'est une zone grise qui dépend entièrement de votre modèle de menace personnel.

7
Cort Ammon

  • Si le site (enfin, la personne derrière lui) est malveillant, il ajoutera le mot de passe défaillant à la liste des informations qu'il connaît sur vous et envisagera certainement la tactique de l'essayer sur tous les autres comptes qu'il connaît. En tant que tel, vous devez le considérer comme compromis.

  • Si le site est incompétent, il peut en quelque sorte révéler votre mot de passe défaillant. Mais s'il le fait, il y aura également une fuite beaucoup de légères fautes de frappe de ses propres mots de passe, ce qui est vraiment assez grave pour eux. Il faut donc que ce soit vraiment plutôt incompétent.

  • Si le site est fondamentalement normal, alors tout va bien, il ne conservera aucun enregistrement des mots de passe échoués (ou réussis, d'ailleurs, à part l'enregistrement haché et salé).

Notez que les sites qui ont eux-mêmes été compromis peuvent raisonnablement être considérés comme malveillants.

Donc, vous devez considérer l'équilibre entre le risque qu'ils soient très malveillants ou très incompétents ou très piratés, et le coût associé du mot de passe compromis, par rapport au coût pour vous de changer ce mot de passe.

Si vous craignez que le risque soit important, modifiez le mot de passe. C'est généralement très facile lorsque vous utilisez un gestionnaire de mots de passe, ce n'est pas comme si vous deviez apprendre le nouveau. Cependant, vos efforts sont très probablement inutiles, car la plupart des sites Web sont "fondamentalement normaux" la plupart du temps.

Vous devez également réfléchir attentivement à ce qui a conduit à l'erreur. Le fait que vous ayez entré vos informations d'identification dans le "mauvais site" est une erreur compréhensible, mais assurez-vous que vous n'êtes pas systématiquement ne pas vérifier correctement l'identité des sites avant d'entrer les informations d'identification, sinon vous êtes vulnérable là-bas.

7
Steve Jessop

Si vous avez entré le mot de passe du site Web A dans le site Web B,

Considérez quelques aspects - Quelle est la fiabilité du Web B? Web B est-il une entreprise renommée conforme aux normes du marché? Le contenu du Web A est-il vraiment vulnérable? Existe-t-il un moyen de deviner à partir du mot de passe à quel site Web appartient-il?

Si vous êtes confus sur l'une de ces questions, changez-le simplement.

Vous ne saurez jamais si le WebManager/SysAdmin stocke le mot de passe sous forme de texte brut ou de cryptage décodable sur le serveur, ou s'il le sécurise par un hachage à sens unique.

2
Shubhradeep Mallik

Le site sur lequel vous avez tapé le mauvais mot de passe était-il facebook.com?

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard-crimson-2010-

Mark a utilisé son site, TheFacebook.com, pour rechercher des membres du site qui se sont identifiés comme membres du Crimson. Puis il a examiné un journal des connexions échouées pour voir si l'un des membres de Crimson avait déjà entré un mot de passe incorrect dans TheFacebook.com. Si les cas dans lesquels ils étaient entrés ont échoué, Mark a essayé de les utiliser pour accéder aux comptes de messagerie Harvard des membres Crimson. Il a réussi à accéder à deux d'entre eux.

1
Adrian Panasiuk

Équipons notre légendaire [Tinfoil Hat].

Les sites Web peuvent-ils enregistrer mes mots de passe?

Supposons que le site Web ait correctement haché. Lorsque vous vous connectez à un site Web, ils peuvent prendre votre mot de passe en clair et le comparer au hachage stocké. Si le mot de passe correspond au hachage stocké dans la base de données, il vous permettra de vous authentifier. Sinon, il vous informera que votre mot de passe n'est pas valide.

Et alors?

Eh bien, il arrive que toute personne possédant un minimum de connaissances en programmation puisse enregistrer des mots de passe invalides en ajoutant une nouvelle ligne à une méthode d'authentification pour tout type de site Web ... même s'il s'agit d'un portail Web, d'un forum ou de tout type de package open source populaire. Tant que la source peut être modifiée, on peut changer tout ce qu'ils veulent, comme ceci:

private void CheckPasswordBeforeHackingMyAOL-CD(string input, string username)
{
    if (IsValid(input) && IsValid(username) && Bcrypt.TestHash(input, Database.GetHashForUser(username))
    {
        AuthenticateMyFace();
    }
    else
    {
        Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks(username, input);
        InformUserThatTheirPasswordDoesntWorkButDontTellThemWhatWereReallyDoing();
    }
}

En fait, un programmeur pourrait faire cela avant hachage pour tout ce qui concerne les mots de passe. Rien n'empêche quiconque de le faire.

Gestion des risques

Voici quelques questions à considérer:

  1. Vous souciez-vous de l'intégrité de l'un ou l'autre compte?
  2. Le même e-mail est-il utilisé dans les deux comptes?
  3. Utilisez-vous le même mot de passe pour l'e-mail et les sites Web en question (j'espère que non)?

Si oui à 1-3, je recommanderais de changer votre mot de passe. Sauf si vous ne vous en souciez pas.

Maintenant que nous avons montré que cela est possible sur tous les fronts, devriez-vous avoir peur d'une telle attaque? Je ne m'en inquiéterais pas. Si vous êtes inquiet, vous devriez probablement utiliser quelque chose comme KeePass pour gérer les informations d'identification du site Web afin que vous n'ayez légitimement pas à vous inquiéter.

0
Mark Buffalo