23Jul
Misalkan Anda mengalami hari yang buruk dan dengan terburu-buru masuk ke situs web favorit, maka secara tidak sengaja kirimkan kata sandi Anda ke kotak teks username. Jika Anda khawatir dan mengganti kata sandi Anda untuk situs web itu, atau apakah itu hanya ketakutan tanpa dasar?
Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin SuperUser - subdivisi dari Stack Exchange, pengelompokan berbasis komunitas dari Q & A situs web.
Pertanyaan
Agen pembaca SuperUser ingin mengetahui bahaya mengetikkan kata sandi seseorang ke dalam kotak teks pengguna dan dengan tidak sengaja mengirimkannya:
Katakanlah saya mengetikkan kata sandi saya ke dalam kotak teks nama pengguna dari situs web yang sering dikunjungi( httpstentu saja ) dan tekan enter sebelum saya perhatikan apa yang sedang saya lakukan.
Apakah kata sandi saya sekarang ada di teks biasa di file log di suatu tempat? Bagaimana bisa kesalahan saya dieksploitasi oleh penjahat licik? Bantu saya memahami implikasi keamanan sebenarnya terlepas dari kemungkinan itu benar-benar terjadi.
Apakah ini benar-benar menjadi sesuatu yang perlu dikhawatirkan, atau bisakah Anda melihat ini sebagai sebuah kesalahan sederhana dan melupakannya?
Jawaban
Kontributor SuperUser Nikolay dan GregD memiliki jawabannya untuk kita. Pertama, Nikolay:
Ini tergantung pada konfigurasi sistem otentikasi untuk situs web. Jika disetel untuk mencatat usaha apa pun, maka ya, sekarang ada log( file teks atau database ) dalam teks biasa. Ini bisa terlihat seperti ini:
12-Feb-2014 12:00:00 AM: Pengguna usaha login yang tidak berhasil( YOUR_PASSSORD_HERE) dari( YOUR_IP_HERE);
atau sejenisnya.
Masih benar bahwa kata kunci tidak dapat diakses oleh pengguna biasa, hanya bagi mereka yang memiliki akses ke file log.
Konsekuensi apa yang diimplikasikannya?
- Jika server pernah dikompromikan, maka secara teoritis, peretas memiliki kata kunci teks biasa.
- Administrator situs web bisa secara rutin membaca file log dan menemukan kata sandi Anda secara tidak sengaja. Dia kemudian dapat menemukan alamat IP dari rekaman ini, dan dengan demikian dia dapat secara teoritis mencari tahu nama pengguna dan email Anda( karena dia memiliki akses ke database).
Jadi, jika Anda menggunakan kata sandi /username/ e-mail yang sama di situs-situs lain, maka segera ubah. Karena selalu ada kemungkinan password anda akan ditemukan. Log dapat tetap berada di server selama bertahun-tahun.
Diikuti oleh jawaban dari GregD:
Sama seperti yang Anda katakan, aplikasi web cenderung menyimpan log dari upaya login yang tidak berhasil. Jika seseorang melihat melalui log, dia bisa menghubungkan usaha login khusus ini dengan salah satu usaha sukses Anda( melalui alamat IP ).
Meskipun saya rasa ini tidak mungkin terjadi, Anda selalu bisa mengubahnya menjadi yakin.
Dengan rentetan data pelanggaran yang terus menerus yang kita baca dan dengar akhir-akhir ini, akan lebih baik mengganti kata sandi untuk situs web yang bersangkutan( dan yang lainnya dengan kata kunci yang sama) untuk ketenangan pikiran. Lebih baik aman daripada menyesal dalam hal keamanan akun online Anda!
Punya sesuatu untuk ditambahkan ke penjelasannya? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.