23Jul
Oletame, et teil on halb päev ja kiirusta lemmikveebisaidile sisenemiseks, siis sisesta juhuslikult oma parool kasutajanime tekstikasti. Kas peaksite muretsema ja muutma selle veebisaidi parooli või on see lihtsalt alusetu hirm?
Tänane küsimus &Vastuste seanss tuleb meile viisakalt SuperUseriga - Q & A veebisaitide kogukonnapõhise grupi Stack Exchange jagunemisest.
Küsimus
SuperUser-lugeja agentnega soovib teada, millised on teie parooli sisestamise ohud kasutajanime tekstikasti ja selle kogemata esitamine võib olla:
Oletame, et ma sisestasin oma parooli tihti külastatava veebisaidi kasutajanime tekstikasti( httpsmuidugi ) ja vajutage sisenemist, enne kui märkasin, mida ma tegin.
Kas minu parool on nüüd kuskil logifaili tavalises tekstis? Kuidas saaks viga ära kasutada vallatu viletsusega? Aidake mul mõista tegeliku julgeolekuga seotud tagajärgi, olenemata sellest, kas see tegelikult toimub.
Kas see peaks tegelikult olema murettekitav või võiksite seda lihtsalt viga vaadata ja unustada sellest?
Vastused
SuperUseri kaasautoritele Nikolai ja GregD-l on meile vastused. Esiteks, Nikolay:
See sõltub veebisaidi autentimissüsteemi konfiguratsioonist. Kui see oli seadistatud proovima logima, siis jah, nüüd on see logi( tekstifail või andmebaas ) tavalises tekstis. See võib tunduda nii:
12-Feb-2014 12:00:00 AM: ebaõnnestunud sisselogimise katse kasutaja( YOUR_PASSSORD_HERE)( YOUR_IP_HERE);
vms.
Praktikas on tõsi, et parool ei ole tavalistele kasutajatele juurdepääsetav ainult neile, kellel on juurdepääs logifailidele.
Milliseid tagajärgi see tähendab?
- Kui server on kunagi ohus, siis teoreetiliselt peaks häkkeril olema teie tavaline teksti parool.
- Veebisaidi administraator võiks korrapäraselt logifaile läbi vaadata ja kogemata oma parooli leida. Seejärel saab ta selle protokolli pärit IP-aadressi ja seega saab ta teoreetiliselt välja selgitada, milline on teie kasutajanimi ja e-mail( kuna tal on juurdepääs andmebaasile).
Niisiis, kui kasutate sama e-posti /username/-parooli teistel veebisaitidel, siis vaheta see kohe. Sest alati on võimalik, et teie parool on teada. Palgid võivad jääda serveritele juba aastaid.
Järgneb GregD-i vastus:
Nii nagu te ütlesite, on veebirakendused kõhklevad ka ebaõnnestunud sisselogimise katsed. Kui keegi logisid läbi, võis ta selle konkreetse sisselogimise katse ühendada mõne teie eduka katsega( , st IP-aadressiga ).
Kuigi ma ei usu, et see võib juhtuda, võite alati seda muuta, et olla kindel.
Pidev andmekahjustuste kuhjumine, mida me tänapäeval lugesime ja kuuldes, oleks parem meelde jätta kõnealuse veebisaidi salasõna( ja kõik samad paroolid ) parooliga. Parem on, kui teie veebikontode turvalisuse asemel oleksite turvaline kui vabandust!
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.