只是扮演惡魔的擁護者...

您很有可能會受到妥協，就像您在兩個站點上使用相同的密碼一樣。

正如大多數人指出的那樣，您可能不必擔心。並不是因為網站無法區分密碼的正確與否，而是因為您將訪問的大多數網站可能不會記錄您的密碼。原因很簡單，它沒有為他們提供任何價值。大多數網站都在那裡開展合法業務，因此記錄下每個輸入的密碼對惡意軟件沒有任何價值。

不過，如果我有惡意的意圖並想收集許多可能的密碼，則可以在線託管服務以收集信息密碼可能比嘗試暴力破解所有可能的組合更好。如果您託管這種“服務”，則捕獲所有密碼，甚至包括錯誤的密碼，也不是一個壞主意。具有多個密碼的用戶很可能會在錯誤的站點上輸入錯誤的密碼，因此，記錄錯誤嘗試和良好嘗試都是不錯的攻擊計劃。

例如，請考慮來自 https的引號：//howsecureismypassword.net/

該網站可能正在竊取您的密碼……雖然不是，但是很容易。
請注意在哪裡輸入密碼。 / p>

它使事物變得透視。另外，這種邪惡的“服務”難道不是那麼容易嗎？很難說，但可以肯定的是，它沒有什麼新內容： https://xkcd.com/792/

注意* ：嗯，我確實說過“可能”，但事實並非如此。通過在許多站點上使用相同的密碼，您不僅容易受到惡意站點的攻擊，而且還容易遭受站點所有者的無能。許多網站仍然將您的密碼以純文本格式存儲在其數據庫中，或者使用弱散列，這意味著如果攻擊者能夠竊取其數據庫，則您的密碼就會受到威脅。

您可能還不錯-正確站點的密碼錯誤和錯誤站點的密碼之間沒有特殊區別。即使有，密碼輸入錯誤的站點也不會知道應該在哪個站點上使用。 。

更改它沒有什麼害處，但是除非您使用其他站點的名稱作為密碼，否則似乎沒人會利用該信息。

雖然我想大多數理智的Web開發人員都不會記錄失敗密碼嘗試的明文版本，但仍然可以。如果您想安全起見，可以認為它已被破壞並重設該密碼。但是，除非我完全合理地懷疑第一個站點可能給我帶來風險，否則我個人不會真的將其視為一個問題。

唯一要更改此密碼的情況是，它保護的網站對您來說比您鍵入的網站重要得多。

例如，世界上有人誰可以訪問民族行為者可能會感興趣的系統。如果這些人將自己的重要密碼輸入其他站點，則應立即進行更改。

按密碼處理密碼。沒有人可以向您保證

• 該站點沒有惡意的系統管理員。
• 該站點具有哈希密碼或加密的密碼。
• 它們缺少sql注入漏洞可以檢索數據，包括用戶名/電子郵件/密碼。
• 訪問此數據的任何人都敢於測試對其他幾個站點的入侵，而且您很不幸，他們會撞到那個站點。
>

只要上述任何一項或全部成立的可能性很小，那麼您的密碼就已經洩露。

根據經驗，密碼消失了，就是密碼虛空更改密碼並進入睡眠狀態。

另一個不同的歷史記錄是您是否真的想浪費時間更改不保護任何內容（例如，空博客，無用的電子郵件帳戶等）或您的銀行帳戶的密碼。

>

“妥協”一詞不是二進制的“是”或“否”。它是一個概念，用於衡量誰有權訪問帳戶，以及他們的目標可能與您的目標形成鮮明對比。密碼。這包括攻擊了www.example.com的任何人以及www.example.com的領導層信任並擁有足夠訪問權限以從用戶（可能是少數DBA）中收集用戶密碼的任何員工。 。去那邊如果您使用了用於保護論壇上機密信息的密碼，則應立即將其視為已洩露，因為對於這樣的特權帳戶，這種暴露水平是不可接受的。如果您在另一個論壇上使用了一個論壇的密碼，可能不是最大的交易。

在中間，您可能會考慮在論壇上使用銀行帳戶密碼的情況。這是一個灰色區域，完全取決於您的個人威脅模型。

• 如果該站點（好吧，背後的人）是惡意的，那麼它將把失敗的密碼添加到它所了解的有關您的信息的列表中，並且肯定會考慮在每個站點上嘗試該策略的策略。它知道的其他帳戶。因此，您應該認為它受到了威脅。

• 如果該站點不稱職，則可能會以某種方式洩漏您失敗的密碼。但是，如果這樣做，也會洩漏 lot 自己的密碼有輕微的錯字，這對他們來說確實很嚴重。

• 如果該站點基本正常，那麼您就可以了，它不會保留任何失敗密碼（或成功密碼，

請注意，本身已受到攻擊的網站可以合理地認為是惡意的。

因此，您需要考慮在它們非常惡意，非常不稱職或非常被黑的風險與密碼被盜用的相關成本之間的權衡，以及更改密碼所需的成本。

如果您擔心風險可能很大，請更改密碼。當使用密碼管理器時，這通常非常容易，這就像您不必學習新的密碼管理器一樣。但是，您的工作很有可能是不必要的，因為大多數網站大部分時間都是“基本正常”。

您還應該仔細考慮導致錯誤的原因。您將憑據輸入到“錯誤的站點”這一事實是可以理解的錯誤，但是請確保您不是系統地在輸入憑據之前沒有正確驗證站點的身份，否則那裡很脆弱。

如果您已將網站A的密碼輸入到網站B中，

請考慮以下幾個方面-Web B的可信度如何？Web B是否是符合市場標準的著名公司？Web的內容是嗎？真的很容易受到攻擊嗎？是否有辦法從密碼中猜測它屬於哪個網站？

如果您對這些問題感到困惑，只需進行更改即可。

您將永遠不會知道WebManager / SysAdmin是在服務器中將密碼存儲為原始文本還是可解密的加密，還是通過一種哈希方式來保護密碼。

您在此網站輸入了錯誤的密碼facebook.com嗎？

http://www.businessinsider.com/how-mark-zuckerberg-hacked-into-the-harvard- crimson-2010-3

馬克使用他的網站TheFacebook.com來查找該網站的成員，這些人將自己標識為緋紅色的成員。然後，他檢查了登錄失敗的日誌，以查看是否有任何Crimson成員曾經在TheFacebook.com中輸入錯誤的密碼。如果他們輸入的案例登錄失敗，則Mark嘗試使用它們訪問Crimson成員的哈佛電子郵件帳戶。他成功訪問了其中兩個。

讓我們裝備傳奇的 [錫箔帽] 。

網站可以記錄我的密碼嗎？

讓我們假設該網站正確進行了哈希處理。當您登錄網站時，他們可以獲取您的 plaintext 密碼並將其與存儲的哈希值進行比較。如果密碼與數據庫中存儲的哈希匹配，則將允許您進行身份驗證。如果不是，它將通知您密碼無效。

那又如何呢？

好吧，具有少量編程知識的任何人都可以通過在 any 類型的身份驗證方法中添加新行來記錄無效密碼網站...即使它是一個流行的開源Web門戶，論壇或任何形式的軟件包。只要可以修改源，就可以更改所需的任何內容，例如：

  private void CheckPasswordBeforeHackingMyAOL-CD（string input，string username）{if（IsValid（input）&& IsValid （用戶名）&& Bcrypt.TestHash（input，Database.GetHashForUser（username））{AuthenticateMyFace（）;} else {Database.LogFailedAttemptDetailsWithParametersBecauseSQLInjectionSucks（username，input）; InformUserThatThePasswordDoesNot >實際上，程序員可以在 散列之前執行所有與密碼有關的操作。沒有什麼可以阻止任何人這樣做的。 
 
風險管理
 
這裡有一些問題需要考慮：
 
 
您是否關心兩個帳戶的完整性？
 
兩個帳戶中使用的電子郵件是否相同？
 
您是否在Questio中對電子郵件和網站使用相同的密碼n（我希望不是）？ 
  ol> 
如果是1-3，建議您更改密碼。除非你不在乎。
現在我們已經證明了在所有方面都可以做到這一點，您是否應該擔心這種攻擊？我不用擔心。如果您擔心，則可能應該使用 KeePass之類的方法來管理網站憑據，這樣您就不必擔心。