23Jul
Supponi di avere una brutta giornata e di avere fretta di accedere a un sito web preferito, quindi invia per errore la tua password nella casella di testo del nome utente. Dovresti essere preoccupato e cambiare la tua password per quel sito, o è solo paura senza fondamento?
Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.
La domanda
SuperUser reader agentnega vuole sapere quali sono i pericoli di digitare la propria password nella casella di testo del nome utente e accidentalmente inviarla potrebbe essere:
Diciamo che ho digitato la mia password nella casella di testo username di un sito web visitato di frequente( httpsovviamente ) e premo invio prima di notare cosa stavo facendo.
La mia password ora si trova in un semplice testo in un file di registro da qualche parte? Come potrebbe il mio errore essere sfruttato da un malvivente furbo? Aiutami a comprendere le reali implicazioni per la sicurezza, indipendentemente dalla probabilità che ciò accada realmente.
Questo sarebbe davvero qualcosa di cui preoccuparsi, o potresti considerarlo un semplice errore e dimenticarlo?
La risposta
I contributori SuperUser Nikolay e GregD hanno la risposta per noi. Innanzitutto, Nikolay:
Dipende dalla configurazione del sistema di autenticazione per il sito web. Se è stato configurato per registrare qualsiasi tentativo, allora sì, è ora nel registro( file di testo o database ) in testo normale. Potrebbe essere simile a questo:
12-Feb-2014 12:00:00: utente di tentativo di accesso non riuscito( YOUR_PASSSORD_HERE) da( YOUR_IP_HERE);
o simili.
È ancora vero che una password non sarà accessibile per gli utenti normali, solo per coloro che hanno accesso ai file di registro.
Quali conseguenze implica?
- Se il server è stato mai compromesso, in teoria, l'hacker avrebbe la password in testo semplice.
- L'amministratore del sito Web può regolarmente consultare i file di registro e trovare casualmente la password. Può quindi trovare l'indirizzo IP da cui proviene questo record, e quindi può teoricamente scoprire il nome utente e l'e-mail( perché ha accesso al database).
Quindi, se si utilizza la stessa password e-mail /username/ su altri siti Web, quindi modificarla immediatamente. Perché c'è sempre la possibilità che la tua password venga scoperta. I log possono rimanere sui server per anni.
Seguito dalla risposta di GregD:
Proprio come hai detto, le applicazioni web tendono a tenere registri di tentativi di accesso non riusciti. Se qualcuno dovesse esaminare i registri, potrebbe collegare questo particolare tentativo di accesso con uno dei tentativi riusciti( , cioè tramite l'indirizzo IP ).
Anche se non penso che questo possa accadere, puoi sempre cambiarlo per essere sicuro.
Con la raffica costante di violazioni dei dati che leggiamo e ascoltiamo in questi giorni, sarebbe meglio cambiare la password per il sito Web in questione( e tutti gli altri con la stessa password ) per la massima tranquillità.È meglio prevenire che curare quando si tratta della sicurezza dei tuoi account online!
Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.
