23Jul
Pretpostavimo da imate loš dan i poželite se prijaviti na omiljenu web stranicu, a zatim slučajno pošaljite svoju lozinku umjesto toga u tekstualni okvir korisničkog imena. Ako se brinete i promijenite svoju lozinku za tu web stranicu ili je to samo neosnovani strah?
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, grupiranjem zajednice Q & A web stranica.
Pitanje
SuperUser čitač agentnega želi znati kakve su opasnosti upisivanja lozinke u tekstni okvir korisničkog imena i slučajno ga poslali:
Pretpostavimo da sam upisala svoju lozinku u tekstni okvir korisničkog imena često posjećene web stranice( httpsnaravno ) i hit enter prije nego sam primijetio ono što sam radio.
Je li moja zaporka sada sjedila u običnom tekstu u zapisničkoj datoteci negdje? Kako bi mogla iskoristiti moju pogrešku od lukavog lažljivca? Pomognite mi razumjeti stvarne sigurnosne posljedice, bez obzira na vjerojatnost da se to zapravo događa.
Biste li to zapravo trebali biti zabrinuti, ili biste to mogli pogledati kao jednostavnu pogrešku i zaboraviti na to?
Odgovor
SuperUser suradnici Nikolay i GregD imaju odgovor za nas. Prvo, Nikolaj:
Ovisi o konfiguraciji sustava provjere autentičnosti web stranice. Ako je bilo postavljeno za prijavu bilo kakvih pokušaja, onda da, sada je u zapisniku( tekstualna datoteka ili baza podataka ) u običnom tekstu. Moglo bi izgledati ovako:
12. veljače 2014. 12:00:00 AM: Neuspješan pokušaj prijave korisnika( YOUR_PASSSORD_HERE) od( YOUR_IP_HERE);
ili slično.
I dalje je istina da lozinka neće biti dostupna za redovne korisnike, samo za one koji imaju pristup datotekama zapisnika.
Koje posljedice to podrazumijeva?
- Ako je poslužitelj ikada bio ugrožen, teoretski, haker bi imao svoju zaporku za običan tekst.
- Administrator web mjesta mogao bi rutinski proći kroz dnevničke datoteke i slučajno pronaći zaporku. On tada može pronaći IP adresu koju je ovaj zapis došao i tako teoretski može saznati što su vaše korisničko ime i e-pošta( jer ima pristup bazi podataka).
Dakle, ako upotrebljavate istu lozinku za e-poštu /username/ na drugim web mjestima, a zatim je odmah promijenite. Budući da uvijek postoji vjerojatnost da će se zaporka saznati. Dnevnici mogu ostati na poslužiteljima godinama.
Slijedi odgovor GregD:
Kao što ste rekli, web aplikacije imaju tendenciju da zadrže zapisnike o neuspjelim pokušajima prijave. Ako bi netko pogledao kroz zapisnike, mogao bi povezati ovaj pokušaj prijave s jednim od vaših uspješnih pokušaja( tj. Putem IP adrese ).
Iako ne mislim da će se to vjerojatno dogoditi, uvijek ga možete promijeniti, budite sigurni.
Sa stalnim baražama o kršenjima podataka koje čitamo i čujemo o ovim danima, bilo bi dobro promijeniti lozinku za dotičnu web stranicu( i sve ostale s istom lozinkom ) za mir uma. Bolje je biti siguran nego žao zbog sigurnosti vaših online računa!
Imate li što dodati objašnjenju? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.