23Jul

¿Cuáles son las implicaciones de seguridad si se envía una contraseña en el campo Nombre de usuario?

Supongamos que está teniendo un mal día y tiene prisa por iniciar sesión en un sitio web favorito, luego, accidentalmente, ingrese su contraseña en el cuadro de texto de nombre de usuario.¿Debería preocuparse y cambiar su contraseña para ese sitio web, o es simplemente miedo infundado?

Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad.

La pregunta

SuperUser reader agentnega quiere saber cuáles son los peligros de escribir la contraseña en el cuadro de nombre de usuario y enviarla accidentalmente podría ser:

Digamos que escribí mi contraseña en el cuadro de texto de nombre de usuario de un sitio web visitado con frecuencia( httpspor supuesto ) y presionar enter antes de notar lo que estaba haciendo.

¿Mi contraseña ahora está en texto plano en algún archivo de registro?¿Cómo podría mi error ser explotado por un ladrón astuto? Ayúdame a comprender las implicaciones de seguridad reales independientemente de la probabilidad de que realmente suceda.

¿Esto realmente sería algo de lo que preocuparse, o podrías ver esto como un simple error y olvidarlo?

La respuesta Los colaboradores de

SuperUser Nikolay y GregD tienen la respuesta para nosotros. Primero, Nikolay:

Depende de la configuración del sistema de autenticación para el sitio web. Si fue configurado para registrar cualquier intento, entonces sí, ahora está en el registro( archivo de texto o base de datos ) en texto sin formato. Podría verse así:

12-feb-2014 12:00:00 AM: usuario de intento de acceso fallido( YOUR_PASSSORD_HERE) de( YOUR_IP_HERE);

o similar.

Todavía es cierto que una contraseña no será accesible para usuarios regulares, solo para aquellos que tienen acceso a archivos de registro.

¿Qué consecuencias implica?

  • Si el servidor alguna vez se vio comprometido, teóricamente, el pirata informático tendría su contraseña de texto sin formato.
  • El administrador del sitio web podría revisar rutinariamente los archivos de registro y encontrar accidentalmente su contraseña. Luego puede encontrar la dirección IP de la que proviene este registro y, por lo tanto, teóricamente puede averiguar cuál es su nombre de usuario y su correo electrónico( porque tiene acceso a la base de datos).

Por lo tanto, si usa la misma contraseña /username/ de correo electrónico en otros sitios web, cámbiela inmediatamente. Porque siempre hay una posibilidad de que se encuentre su contraseña. Los registros pueden permanecer en servidores durante años.

Seguido de la respuesta de GregD:

Tal como dijo, las aplicaciones web tienden a mantener registros de intentos de inicio de sesión fallidos. Si alguien revisara los registros, podría conectar este intento de inicio de sesión particular con uno de sus intentos exitosos( , es decir, a través de la dirección IP ).

Aunque no creo que esto suceda, siempre puedes cambiarlo, asegúrate.

Con el aluvión constante de violaciones de datos que leemos y escuchamos acerca de estos días, sería mejor cambiar la contraseña del sitio web en cuestión( y cualquier otro con la misma contraseña ) para su tranquilidad.¡Es mejor prevenir que lamentar cuando se trata de la seguridad de sus cuentas en línea!

¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.