Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Когда может быть не хорошей идеей немедленно сбрасывать пароль?

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Опасность обратного доступа через скомпрометированную форму смены пароля
  4. 2. Возможность повторного использования паролей
  5. 3. Проблемы с расширениями и автозаполнением браузера
  6. Рекомендации по действиям
  7. Заключение

Вопрос или проблема

Предположим, я Злой Хакер™ и только что взломал вебсайт, украл все их пароли bcrypt и изуродовал их сайт просто ради забавы. Но поскольку это bcrypt, я не могу ничего взломать.

Мне кажется, что в этой ситуации (как Злой Хакер™) я бы создал бекдор в форме сброса пароля, чтобы как только пользователь введет «старый пароль», его пароль был скомпрометирован, не прибегая к брутфорсу bcrypt.

Не слишком ли я запутался в этом? Возможно ли, что спешка к форме «сбросить пароль» после взлома является плохой практикой? Если я (как пользователь) имею длинный, случайный пароль (но не обязательно уникальный), и я узнаю, что пароли хранятся безопасно, могу ли я просто продолжать использовать тот же пароль после взлома?

Этот вопрос вдохновлен Нужно ли мне сбрасывать пароль в Internet Archive?.

могу ли я просто продолжать использовать тот же пароль после взлома?

Нет. Ваша следующая попытка входа раскрывает открытый текст скомпрометированной системе так же, как и заполнение формы изменения пароля.

Некоторые более жизнеспособные варианты:

  • перестать использовать этот сайт
  • Установить новый пароль, используя подход «Я забыл свой пароль», при котором вы никогда не отправляете старый пароль. Но вам все равно нужно рассматривать новый пароль как потенциально скомпрометированный.

1 Это утверждение о равенстве, а не гарантии уязвимости. Некоторые схемы входа, например Kerberos, могут предоставить доказательство знания пароля, не раскрывая его… что решило бы проблему как для входа, так и для изменения пароля. Но, доказали ли вы, что вызов Kerberos не был тайно заменен на HTTP Basic Authentication?

После компрометации — это сценарий, когда интегрированные в браузер менеджеры паролей могут навредить вам. Теперь функция автозаполнения, предназначенная для уверенности в том, что вы подключены к правильной точке подключения, предает вас и отправляет информацию, которую вам не следует отправлять.

В этом сценарии, если злоумышленник может создать бекдор в форме входа, он все равно может зайти в ваш аккаунт без пароля.

И как бы вы вообще знали, что сайт был подвергнут бекдору в первую очередь?

Но если бы вы как-то узнали, вам все равно не следует пытаться сменить пароль: в случае, если вы использовали его на других сайтах тоже.

Ответ или решение

Когда стоит воздержаться от немедленной смены пароля после компрометации системы?

Ситуация, в которой произошло нарушение безопасности, всегда вызывает тревогу. Вопрос о том, следует ли сразу менять пароль после взлома, имеет свои нюансы. Рассмотрим несколько таких сценариев, когда немедленная смена пароля может быть не лучшим решением.

1. Опасность обратного доступа через скомпрометированную форму смены пароля

Когда злоумышленник уже получил доступ к системе и, например, внедрил скрытую программу (бэкдор) в форму смены пароля, попытка смены пароля может привести к непосредственному раскрытию вашего нового пароля. В этом случае, если вы введёте свой старый пароль при смене, злоумышленник сможет получить ваш новый пароль, даже если он не знает старый. Более того, такой же риск существует и в процессе логина. Ваша следующая попытка входа в систему будет направлена на ту же скомпрометированную форму, что и при изменении пароля.

2. Возможность повторного использования паролей

Если ваш пароль использовался на других ресурсах, его изменение на скомпрометированном сайте без альтернативных мер предосторожности может привести к дополнительной уязвимости. Особенно это касается ситуаций, когда у вас есть понять, что даже если текущий пароль надёжно хранился, злоумышленники могут получить доступ к вашему аккаунту на других платформах, если они используют тот же пароль.

3. Проблемы с расширениями и автозаполнением браузера

Автозаполнение паролей в браузерах может оказать двойственную услугу. После взлома, любые попытки изменений паролей, которые автоматически выполняет браузер, могут привести к передаче пароля на скомпрометированную страницу. При этом пользователь может не заметить, что они находятся на подозрительном сайте. Это может произойти даже если вы пытаетесь использовать менеджер паролей — злоумышленник может модифицировать форму так, чтобы она эффективно собирала данные.

Рекомендации по действиям

  • Не используйте скомпрометированный сервис: Если у вас есть сомнения в безопасности ресурса после его взлома, лучше всего прекратить использование этого сайта.

  • Применяйте функцию "Забыл пароль": Попробуйте сбросить пароль через функцию "Забыли пароль?", которая не требует ввода текущего пароля. Однако в этом случае новый пароль всё равно должен рассматриваться как потенциально скомпрометированный.

Заключение

Таким образом, в случае, если вы стали свидетелем утечки данных, спешка с изменением пароля может привести к нежелательным последствиям. Прежде чем действовать, стоит оценить уровень угроз и рассмотреть опции, которые помогут минимизировать риски. Всегда держите в уме, что безопасность вашего аккаунта и личной информации зависит не только от изменений пароля, но и от общей осведомлённости о текущих угрозах и быстрой реакции на них.

passwords
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности