Parfois, je ne parviens pas à appuyer correctement sur Tab lors de la saisie d'une combinaison nom d'utilisateur/mot de passe. Cela me fait soumettre le nom d'utilisateur "myUsername $ ecretPa $$ Word" avec un mot de passe vierge. J'essaie toujours de changer mon mot de passe peu de temps après avoir fait cela, craignant qu'il soit tout à fait possible que quelqu'un qui gère le site enregistre des tentatives de connexion infructueuses. Il semble raisonnable que quelqu'un (même un administrateur soucieux de la sécurité) considère la connexion des tentatives de noms d'utilisateur à la fois comme utile et sûre. Mais si cela se produit, mon mot de passe sera stocké quelque part dans un journal non chiffré, juste avec mon nom d'utilisateur.
Est-ce une préoccupation raisonnable? Suis-je trop paranoïaque?
La réponse courte est qu'il est très, très probable que votre nom d'utilisateur et votre mot de passe concaténés existent sur un journal non chiffré quelque part auquel un plus grand groupe de personnes aurait accès à des journaux restreints.
Vous n'êtes pas paranoïaque pour changer votre mot de passe et devez le changer lorsque cela se produit.
Mais si cela se produit, mon mot de passe sera stocké quelque part dans un journal non chiffré, juste avec mon nom d'utilisateur.
Est-ce une préoccupation raisonnable?
Oui.
Suis-je trop paranoïaque?
Cela dépend .
Si vous vous inquiétez du stockage du mot de passe, vous ne l'êtes absolument pas. Votre mot de passe sera stocké en clair avec une quasi-certitude. Être conscient de la réalité et des pratiques actuelles n'est pas de la paranoïa.
S'inquiéter des dommages que le mot de passe divulgué peut causer - d'où le changement de mot de passe rapide - est une autre affaire. Là, vous pourriez être un peu paranoïaque ... mais là encore, non, en fonction de votre politique de mot de passe globale et du type de sites que vous visitez habituellement et sur lesquels votre mot de passe est divulgué.
Il existe deux facteurs atténuants:
Le fichier journal sera presque certainement vu par personne d'autre que les administrateurs (si jamais, voire pas du tout). Ils ont probablement déjà les moyens à la fois de se faire passer pour (c'est-à-dire de se connecter en tant que vous, même sans connaître votre mot de passe) et de voler votre mot de passe, même si le site Web devrait le stocker sous forme cryptée. De plus, à moins qu'il s'agisse d'un site géré par des aspirants, les administrateurs sont en fait en laisse assez courte et ne peuvent pas par exemple parcourez simplement les journaux pour le plaisir. Il existe généralement des filtres de premier niveau qui soumettent une partie du journal et la raison de l'alerte; ceci principalement pour réduire le temps passé à vérifier les journaux. Votre unique connexion échouée ne devrait même pas déclencher une alerte de bas niveau.
Je suis à peu près sûr, compte tenu de votre conscience de la sécurité, que votre mot de passe super-secret n'est pas réutilisé sur plusieurs sites. Par conséquent, même s'il fuyait, ce ne serait pas un grand mal.
Le principal danger des mots de passe divulgués sur le même site sur lequel ils sont utilisés est qu'ils peuvent fournir des informations ou un accès direct à un autre site en raison de réutilisation des mots de passe . Un administrateur qui n'a été tenu honnête que par la conscience qu'un accès sur son site lui serait immédiatement retracé, pourrait se sentir plus frileux vers un site tiers qu'il n'administre pas et où il n'est pas connu.
Par conséquent, si j'étais un tel administrateur, sachant que votre mot de passe sur mon site est loneboat3
me ferait probablement essayer loneboat
ainsi que loneboat0
par loneboat9
sur votre site bancaire.
Et dans votre cas, je soupçonne que ce danger est négligeable.
Cela dit, je pense que changer un mot de passe dès que vous sentez qu'il a été compromis est une très bonne habitude d'avoir quoi qu'il arrive.