Les mots de passe partiellement saisis représentent-ils un risque potentiel pour la sécurité?
Je me suis juste assis à mon ordinateur de travail et j'ai commencé à le déverrouiller en tapant mon mot de passe, j'ai obtenu 6 des 8 caractères et j'ai décidé que je voulais du café et je suis parti pour l'obtenir. Je suis revenu, j'ai réalisé que j'avais laissé la plupart du mot de passe, tapé les deux caractères restants et connecté. Par pure curiosité, y a-t-il un risque pour la sécurité?
Dans la plupart des cas, je pense que ce ne serait pas problématique car cela donne à un attaquant une tentative avant de le réinitialiser et il doit repartir de zéro. Cependant, je suppose qu'au minimum, cela permet à l'attaquant de savoir que votre mot de passe est au moins aussi long que le nombre de caractères (en supposant que vous l'avez bien saisi), ce qui leur donne un avantage pour les futures attaques. Existe-t-il peut-être un moyen de récupérer le texte qui est tapé dans la boîte de connexion, ou peut-être d'enregistrer l'état afin que vous puissiez continuer à réessayer à partir de ce point partiellement terminé? Et s'il s'agissait d'une connexion à une page Web par opposition à une application de bureau?
L'espionnage d'entreprise est une chose.
Il y a pourrait un risque pour la sécurité si quelqu'un vous a vu taper votre mot de passe ou devine les deux derniers caractères. Ce n'est pas si difficile de remarquer les frappes des gens et de s'en souvenir inconsciemment, en particulier les dernières touches.
Dans le cas de l'espionnage d'entreprise, quelqu'un pourrait vouloir vous regarder taper votre mot de passe, et il pourrait s'en souvenir.
ou peut-être enregistrer l'état afin que vous puissiez continuer à réessayer à partir de ce point partiellement terminé?
Vous devez admettre, compte tenu des circonstances, que cela ressemble à une haie de papier d'aluminium de niveau supérieur. Je peux simplement imaginer un gars en costume gris marchant vers votre bureau, à la recherche de votre disque de machine virtuelle de plus de 20 Go, ainsi que des données de configuration qui l'accompagnent en quelques minutes, et en le transportant dans une cabine miteuse dans le coin du bureau, puis forcer brutalement tout en caquetant maniaque:
Décollons le fleuret une seconde. Si vous exécutez une machine virtuelle, c'est tout à fait possible. Vous pouvez enregistrer l'état de la machine virtuelle à ce stade et continuer à essayer. La probabilité que cela vous arrive pendant une pause-café est à peu près nulle. Même chose avec l'état de l'application, mais pas aussi improbable qu'une machine virtuelle.
Avec la machine virtuelle, un collègue devrait copier le contenu de votre disque dur virtuel, ainsi que les paramètres qui l'accompagnent, et le monter. Plus que probable, cela dépasserait 20 Go. Copier ce lecteur virtuel en si peu de temps alors que d'autres personnes sont là semble assez improbable.
Quelqu'un remarquera quelque chose.
Et s'il s'agissait d'une connexion à une page Web par opposition à une application de bureau?
Mettons nos chapeaux de papier d'aluminium et voyons ce que nous pouvons faire pour récupérer le mot de passe partiellement tapé en utilisant uniquement des outils facilement disponibles. Mettez-vous à la place de l'attaquant: comment obtiendriez-vous rapidement le mot de passe avant la pause café est finie?
À l'aide de la console développeur, vous pouvez modifier la page Web pour changer cela:
<input type="password" name="pass" id="password"/>Pour ça:
<input type="text" name="pass" id="password"/>(Suppression de jQuery comme suggéré par Doyle Lewis )
Nous pouvons également obtenir les valeurs via l'entrée de la console: vous pouvez utiliser une variation de celles-ci ( F12 > Console > Entrez l'entrée ):
console.log($("#password").val());(jQuery)console.log(this.pass.val);console.log(document.getElementById("password").value);(dom)
Apparemment Windows 8 et Windows 10 Enterprise ont une icône "œil" qui vous permet de révéler le mot de passe en texte brut en maintenant enfoncé le bouton œil . Cela devient une menace encore plus grande lorsque quelqu'un d'autre peut simplement cliquer sur ce bouton, en contournant tous les efforts utilisés dans les exemples ci-dessus.
Mais pourquoi serait-ce un risque potentiel pour la sécurité?
Rééquiper nos [Tinfoil Hat (Mythic Warforged)], supposons le pire des cas:
Avec votre nom d'utilisateur et votre mot de passe, dans un environnement d'entreprise où il n'est certainement pas difficile de trouver votre nom d'utilisateur (généralement votre identifiant de badge ou votre nom d'utilisateur par e-mail), un collègue malveillant peut tenter de vous usurper votre identité sur le réseau. Par exemple:
- Votre entreprise dispose d'un accès WiFi qui nécessite votre numéro de badge d'employé et votre mot de passe pour vous connecter.
- Un collègue malveillant se connecte au réseau de l'entreprise en utilisant vos informations d'identification, sur un appareil non autorisé, puis fait des ravages/vole des choses sans qu'il y retourne. La plupart des politiques de sécurité doivent d'abord exiger l'enregistrement de l'appareil, mais il existe malheureusement des moyens de contourner cela.
- Vous êtes blâmé. On dirait que tu l'as fait. Et l'espion qui a foiré les choses peut s'échapper sans Scott .
Comment puis-je me protéger contre cela?
Cette attaque très improbable, mais possible, et de nombreuses autres attaques qui nécessitent un accès physique à votre machine (sans compter les infections matérielles), est complètement atténuée en verrouillant votre poste de travail avant de se lever et en ne saisissant pas de mots de passe partiels. Faites-en votre habitude, et vous n'aurez pas à vous soucier de quiconque fasse quelque chose comme ça.
Ne soyez pas complaisant, cependant.
En plus des autres réponses, alors que vous étiez absent, j'ai installé un enregistreur de frappe sur votre clavier.
À court terme, j'ai les 2 derniers caractères de votre mot de passe. Je pourrais l'utiliser pour réduire considérablement l'espace de recherche pour une attaque par force brute.
Mais je suis paresseux et un penseur à long terme. Je vais juste attendre que vous vous reconnectiez et j'aurai votre mot de passe complet.
Comme indiqué dans les commentaires, certaines versions de Windows ont un symbole "oeil" sur lequel vous pouvez cliquer pour afficher ce que vous avez tapé dans la zone de mot de passe.
Si vous laissez six de vos personnages dans la zone de mot de passe de l'écran de verrouillage, il suffit d'un clic sur l'œil pour exposer le texte en clair. Cela ne signifie pas que l'attaquant connaîtrait la longueur de votre mot de passe, mais cela affaiblirait la sécurité de votre mot de passe car les six premiers caractères sont exposés.
Je peux confirmer, Windows 10 Enterprise a en effet cet œil.
Les applications stockent en interne les bits de mot de passe que vous avez déjà saisis. Certains d'entre eux pourraient le faire de manière à permettre à un attaquant de les récupérer. Par exemple, nous avons discuté dans une question précédente comment les mots de passe saisis dans Internet Explorer pouvaient être imprimés dans la console IE par un utilisateur).
En plus de cela, il y a le risque que quelqu'un devine les caractères manquants (comme l'a souligné @MarkBuffalo) car de nombreux mots de passe ont tendance à se terminer par des symboles ou des chiffres spéciaux (très précisément, de nombreux mots de passe se terminent par "1"). Si vous avez déjà été observé ou si un attaquant a déjà connaissance de votre mot de passe, il pourrait réussir à compléter votre mot de passe partiellement tapé.
Potentiellement, oui. Encore plus si les gens vous ont regardé le taper précédemment, et donc vu d'où vos doigts quittent le clavier.
Pour un formulaire Web, vous devez essentiellement supposer que toute personne qui peut modifier la page Web peut voir votre mot de passe - soit en changeant le champ du mot de passe en type de texte, en surveillant les caractères sur lesquels vous appuyez (Enregistreur de frappe JS, en effet), ou, pour les navigateurs plus anciens, en regardant simplement les propriétés du champ de mot de passe dans l'inspecteur intégré (la plupart des navigateurs modernes semblent restreindre l'affichage du contenu tapé dans les champs de mot de passe, par mesure de sécurité, bien qu'ils révèlent toujours tout ce qui est envoyé dans le attribut de valeur, car quiconque regarde la source de la page peut le voir.
Il confirme également votre nom d'utilisateur - il est peu probable que vous preniez la peine de taper la plupart de votre mot de passe dans le mauvais écran de nom d'utilisateur pour un ordinateur partagé. Selon votre configuration, il peut s'agir d'informations sensibles.
Cela dépend presque certainement de ce à quoi vous vous connectiez. Par exemple, s'il s'agissait d'un formulaire Web, il serait facile d'écrire du Javascript dans la console du développeur afin d'obtenir la valeur actuelle du champ de mot de passe sans éveiller les soupçons.
Comparez cela à si vous le tapiez dans votre écran de connexion Windows où il n'y a pas de console facilement accessible pour taper des commandes afin d'extraire la valeur. Le pire des cas si personne ne vous a vu taper la première partie de votre mot de passe est que quelqu'un vous voit soit taper les deux derniers caractères indépendamment (probablement moins susceptibles d'être tapés avec fluidité et plus faciles à discerner) ou essaie le mot de passe en sachant qu'il n'y en a que deux caractères laissés (la longueur est la qualité la plus simple d'un mot de passe à obtenir) comme une supposition et s'ils échouent il y a aussi peu de risques pour eux.
Techniquement, vous avez mis vous et vos collègues et employeurs à risque d'attaque. Les 6 chiffres du seul suffisent déjà à certains pour se faire une idée générale du format utilisé (si l'entreprise a besoin d'un format de mot de passe). Un espion d'entreprise pourrait également voir les 6 sur 8 et simplement mettre en place une attaque bruteforce pour ne casser que les 2 derniers. Cependant, dans le cas où une attaque potentielle ne connaît pas la longueur du mot de passe, il faudra plus de temps pour se fissurer car il y a tellement de combinaisons.