web-dev-qa-db-fra.com

J'ai presque cherché mon mot de passe, mais je n'ai pas appuyé sur Entrée. Mon mot de passe est-il en danger, en raison de la saisie semi-automatique ou de toute autre chose?

Sans même y penser, j'ai tapé mon mot de passe dans la barre de recherche Google, mais je n'ai pas appuyé sur Entrée. Étant donné que la saisie semi-automatique est activée, cela signifie-t-il que mon mot de passe a été enregistré ou indexé quelque part? Serait-ce une bonne idée de changer mon mot de passe ou est-ce simplement paranoïaque?

70
Randy

J'en doute fortement.

  • Vous n'avez pas appuyé sur Entrée, mais Google enverra parfois les informations pour présenter rapidement vos résultats. Ceci est forcé sur HTTPS. Vos informations étaient probablement cryptées et non exposées.
  • Selon la plupart des sources, Google traite en moyenne 3,5 milliards de recherches par jour. Il n'y a aucune information supplémentaire pour prouver que votre requête est un mot de passe. Il n'existe pas non plus de moyen public permettant à une personne d'obtenir les requêtes de recherche d'un utilisateur Google particulier. Ils devraient donc être un véritable employé de Google. La probabilité qu'un employé interne de Google essaie vos requêtes de recherche comme mots de passe pour votre compte est très peu probable. Il n'est peut-être même pas possible pour la plupart des employés standard de Google d'obtenir de telles informations d'identification. Mais si c'est le cas, la possibilité que l'un de ces utilisateurs vous cible délibérément est astronomique.
  • Encore une fois, il n'y a pas de contexte supplémentaire pour prouver qu'il s'agit de votre mot de passe. Vos informations utilisateur ne sont pas non plus soumises avec votre requête. Donc, en cas d'attaque MITM où ils peuvent lire votre trafic, je le considérerais comme très bas car ils devraient également avoir votre nom d'utilisateur.

Je vais dire tout de suite qu'il y a 99,9% de chances que vous n'ayez rien à craindre. Si vous portez un chapeau en aluminium ou avez toujours une tique nerveuse, changez votre mot de passe. Si vous n'utilisez pas ce mot de passe ailleurs, vous êtes en or car ce n'est pas comme s'ils pouvaient se connecter avec un ancien mot de passe. Sinon, je continuerais sans m'en inquiéter.

Modifier: @reirab a fait valoir qu'il pourrait le faire apparaître dans des fonctionnalités qui utilisent votre historique de recherche. Je ne pense pas que cela se produise si vous n'appuyez pas sur Soumettre. Mais si vous voulez être sûr effacez votre historique de recherche avec Google . Je ne peux pas être sûr que cela efface les serveurs de Google, mais cela devrait les empêcher d'apparaître dans la saisie semi-automatique.

95
Bacon Brad

Je vous recommande de changer votre mot de passe. Le fait est que votre mot de passe a été envoyé à leurs serveurs, même si vous n'avez pas appuyé sur Entrée.

Vous pouvez le tester par vous-même, ouvrir votre navigateur, Ctrl + Maj + I, sélectionner le réseau, commencer à taper et surveiller le trafic.

Voici un exemple, en écrivant le mot-clé "test", et sans appuyer sur Entrée .

Faites attention à la lettre q, qui signifie requête de recherche: t, te, tes, test, comme vous pouvez le voir, c'est presque la même chose qu'un enregistreur de frappe.

enter image description here

44
Mirsad

Il a été envoyé (crypté) à Google. changez votre mot de passe

Il a probablement été enregistré quelque part, ainsi que de nombreux termes de recherche et d'autres utilisateurs indésirables y ont tapé. Bien qu'il soit peu probable qu'il soit utilisé pour tout ce qui vous intéresse ou qui met en danger votre compte, pourquoi en supporter le risque? Le changer simplement le résoudra.

PS: je recommande d'utiliser une barre de recherche du navigateur, avec des suggestions désactivé.

25
Ángel

Théoriquement, vous devez changer votre mot de passe, car en le tapant dans google, le mot de passe est envoyé à google.
Google utilise cependant https, et personnellement, je ne serais pas trop inquiet que Google utilise mon mot de passe comme recherche, mais bon, ce n'est pas idéal.
.

8
Stoud

C'est douteux, mais considérez ce qui suit

  • La connexion à Google Search est cryptée. À notre connaissance, l'historique des recherches Google n'a pas été compromis. Dans le cas où la recherche Google et l'historique Web sont activés, votre historique de recherche pourrait théoriquement être consulté par quelqu'un qui a réussi à pénétrer votre compte. Vous avez déclaré que vous n'aviez pas appuyé sur Entrée; il n'a probablement jamais été stocké dans votre compte si tel est le cas.
  • Dans le cas où Google enregistre des suggestions de recherche avant d'appuyer sur Entrée, il pourrait théoriquement être lié à votre adresse IP et/ou votre compte si vous étiez connecté à l'époque. Si votre compte a été ordonné par le tribunal pour obtenir des informations en temps opportun, il pourrait leur permettre de récupérer les informations et de les comparer à divers comptes et/ou à utiliser contre le chiffrement complet du disque. Si cela vous inquiète, je changerais le mot de passe en question.
  • Si quelqu'un attaque activement votre connexion sans fil, a un faux certificat SSL racine installé sur votre ordinateur ou utilise une autre technique MITM , il pourrait deviner que c'est un mot de passe et utilisez-le pour aider d'autres attaques.

En fin de compte, cela dépend de deux facteurs: qui est votre adversaire et la valeur du mot de passe. Si j'étais dans votre situation, je changerais probablement mon mot de passe pour rester en sécurité.

6
Nathaniel Suchy

Même s'il a probablement été chiffré comme d'autres l'ont dit, il y a un risque qu'il s'affiche à nouveau comme une recherche suggérée si vous deviez taper les mêmes premiers caractères dans le cadre d'une véritable recherche Google. S'il était à nouveau affiché, il pourrait être à risque de surfeurs d'épaule .

Je vous suggère donc de changer votre mot de passe.

4
James Bradbury

Je pense que vous posez la mauvaise question et suggérerez quelques modifications.

Votre question ("En raison de la saisie semi-automatique, est-ce que mon mot de passe est en danger?") Implique que vous avez un seul mot de passe et s'inquiète de la menace d'exposition liée à sa saisie dans un moteur de recherche. Vous n'avez probablement pas à vous en préoccuper, mais vous devez vous inquiéter du fait qu'un ou plusieurs des sites sur lesquels vous l'avez entré ont été violés.

Ces fuites de données sont courantes. Ils ont un impact sur les sites qui stockent simplement le mot de passe en texte brut (RockU vient à l'esprit) sur des sites comme Ashley Madison, qui utilisait un algorithme de stockage décent, mal implémenté.

En tant que tel, si vous avez un seul mot de passe que vous utilisez sur de nombreux sites, il a probablement été divulgué en association avec votre adresse e-mail.

Je recommande d'utiliser un gestionnaire de mots de passe. Je pense que 1Password est un bon choix. J'utilise la synchronisation inter-appareils pour sauvegarder mon coffre-fort et je ne stocke même pas les mots de passe cryptés dans le cloud.

1
Adam Shostack

Théoriquement, oui, car votre mot de passe a été envoyé à Google et est probablement stocké quelque part avec des milliards d'autres chaînes courtes.

Dans la pratique cependant, la probabilité que ce mot de passe sorte de cette base de données et se frayant un chemin vers un attaquant qui essaie de l'utiliser pour accéder à votre compte est de plusieurs ordres de grandeur inférieure à celle de nombreuses autres attaques banales que vous sont constamment exposés à. Donc, à moins que vous exécutiez un système de haute sécurité (quelque chose comme un serveur DNS racine ou un certificat d'autorité de certification racine), vous en inquiéter serait irrationnel.

En fait, je dirais qu'il y a de fortes chances que la probabilité que quelque chose se passe mal lors du changement de votre mot de passe et que vous vous retrouviez bloqué ou compromis de toute façon soit plus élevée que la probabilité que vous vous compromettiez de cela.

1
Anonymous friendo