登录失败时显示旧密码信息安全吗?
昨天,当我更改我的Facebook密码时,我错误地输入了旧密码,得到了以下信息:
我是不是漏掉了什么,或者这对用户来说是一个很大的社会风险。
在我看来,这是一个问题,因为它是FaceBook,每个人都使用它,最新的统计数据显示,76.3%的用户是白痴[来源:我],这超过了3/4!
别说废话了:
- 这不是对攻击者有用的信息吗?
- 它揭示了关于用户的私人信息!
- 它可以帮助攻击者访问用户使用相同密码的另一个站点。
- 当然,您不应该使用相同的密码两次(但请记住:76.3%!)
- 这难道不只是增加了攻击者的表面积吗?
- 它至少增加了获取有用信息的机会。
- 在像Facebook这样的网站上,黑客和(坏的)对个人信息感兴趣的人的首选,难道不应该消除任何增加漏洞的可能性吗?
我是不是遗漏了什么?我有妄想症吗?在这篇文章之后,76.3%的账户会被黑吗?
回答 5
Software Engineering用户
发布于 2011-02-09 15:34:20
我认为安全风险很小。
但是,如果他们删除了告诉您尝试过旧密码的文本,并在最近更改密码后每次输入无效密码时只显示此消息,我会感觉好多了。
我认为这将给你最好的两个世界-它让你知道你的密码最近改变了,从哪里,并提醒你,你可能试图使用旧密码。它不会把你的一个密码(虽然旧的)泄露给潜在的攻击者
Software Engineering用户
发布于 2011-02-09 15:25:31
我会说,这可能是一个安全风险,虽然很小。
它告诉攻击者的是,是的,这个密码曾经是这个电子邮件地址的有效密码。
就像特鲁法说的那样,攻击者可以采取这种组合,并尝试其他网站。所以这不会是Facebook上的安全问题(解开.Facebook是如何将您的密码重置为旧密码的?),但它可能在其他站点上。
Software Engineering用户
发布于 2011-02-09 15:14:29
我不知道安全风险是什么,它不是告诉你旧密码是什么,只是它被更改了。如果攻击者能够猜出您的旧密码,那么它不是一个很好的密码。
事实上,Facebook的一个问题是,人们的密码很弱,被抛弃的情人或学校欺负者会“猜”你的密码,修改密码,这样你就不能再登录了,然后以自己的名义发布很多关于你的有害信息。
我想他们添加这个功能是为了应对这个问题--这样你就可以知道如果你不能登录,并且上面写着“你的密码在(其他计算机)上被更改了”,你的帐户可能已经被破坏了。
https://softwareengineering.stackexchange.com/questions/45855
复制相似问题
腾讯云开发者
