Główna » jak » Jakie są skutki bezpieczeństwa, jeśli hasło zostało przesłane w polu nazwy użytkownika?

    Jakie są skutki bezpieczeństwa, jeśli hasło zostało przesłane w polu nazwy użytkownika?

    Załóżmy, że masz zły dzień i spieszysz się, aby zalogować się do ulubionej witryny, a następnie niechcący przesłać hasło w polu tekstowym nazwy użytkownika. Czy powinieneś się martwić i zmienić hasło do tej strony, czy to po prostu bezpodstawny strach?

    Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.

    Pytanie

    Czytnik superużytkowników agentnega chce wiedzieć, jakie niebezpieczeństwa związane z wpisaniem hasła w polu tekstowym nazwy użytkownika i jego przypadkowym przesłaniem może być:

    Załóżmy, że wpisałem hasło w polu nazwy użytkownika często odwiedzanej witryny (https oczywiście) i naciśnij Enter, zanim zauważyłem, co robię.

    Czy moje hasło znajduje się teraz gdzieś w postaci zwykłego tekstu w pliku dziennika? Jak mój błąd mógł zostać wykorzystany przez sprytnego miscreanta? Pomóż mi zrozumieć rzeczywiste skutki dla bezpieczeństwa, niezależnie od prawdopodobieństwa, że ​​tak się rzeczywiście stanie.

    Czy rzeczywiście byłoby to powodem do zmartwienia, czy też można by to uznać za zwykły błąd i zapomnieć o tym?

    Odpowiedź

    Dostawcy SuperUser, Nikolay i GregD, mają dla nas odpowiedź. Najpierw, Nikolay:

    To zależy od konfiguracji systemu uwierzytelniania witryny. Jeśli został skonfigurowany do rejestrowania jakichkolwiek prób, to tak, jest teraz w dzienniku (plik tekstowy lub baza danych) w postaci zwykłego tekstu. Może wyglądać tak:

    12-lut-2014 12:00:00 AM: Nieudany użytkownik próbujący zalogować się (YOUR_PASSSORD_HERE) z (YOUR_IP_HERE);

    lub podobne.

    Nadal jest prawdą, że hasło nie będzie dostępne dla zwykłych użytkowników, tylko dla tych, którzy mają dostęp do plików dziennika.

    Jakie konsekwencje to oznacza?

    • Jeśli serwer kiedykolwiek został naruszony, to teoretycznie, haker miałby twoje hasło do zwykłego tekstu.
    • Administrator strony może rutynowo przeglądać pliki dziennika i przypadkowo znaleźć swoje hasło. Następnie może znaleźć adres IP, z którego pochodzi ten rekord, i dzięki temu teoretycznie może dowiedzieć się, jaka jest Twoja nazwa użytkownika i adres e-mail (ponieważ ma on dostęp do bazy danych).

    Tak więc, jeśli używasz tego samego adresu e-mail / nazwy użytkownika / hasła na innych stronach internetowych, a następnie zmień go natychmiast. Ponieważ zawsze istnieje szansa, że ​​twoje hasło zostanie znalezione. Dzienniki mogą pozostać na serwerach przez lata.

    Następująca odpowiedź od GregD:

    Tak jak powiedziałeś, aplikacje internetowe zwykle przechowują logi nieudanych prób logowania. Jeśli ktoś przejrzy dzienniki, może połączyć tę konkretną próbę zalogowania z jedną z udanych prób (tj. za pośrednictwem adresu IP).

    Chociaż nie sądzę, aby tak się stało, zawsze możesz to zmienić.

    Przy ciągłym napadach danych, o których czytamy i słyszymy o tych dniach, lepiej zmienić hasło do danej witryny (i wszystkie inne o tym samym haśle) dla spokoju ducha. Lepiej być bezpiecznym niż żałować, jeśli chodzi o bezpieczeństwo Twoich kont online!

    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.

    Co to są Sys Rq, Scroll Lock i Pause Break Keys na mojej klawiaturze?
    Jakie są narzędzia Sysinternet i jak ich używasz?
    Jakie są najkorzystniejsze urządzenia Smarthome?
    Następny artykuł
    Jakie są kroki do znalezienia publicznego adresu IP komputera?
    Poprzedni artykuł
    Czym są aplikacje mobilne Photoshop Express, Fix, Mix i Sketch?