23Jul

מהן השלכות האבטחה אם סיסמה מוגשת בשדה שם המשתמש?

נניח שאתה נתקל יום רע ובמהירות להיכנס לאתר מועדף, ואז בטעות לשלוח את הסיסמה שלך בתיבת הטקסט שם המשתמש במקום.האם אתה צריך להיות מודאג ולשנות את הסיסמה עבור אתר זה, או שזה רק פחד ללא בסיס?

שאלה של היום &מפגש תשובה מגיע אלינו באדיבות SuperUser - חלוקה של סטאק שערי, קהילה מונחה קיבוץ של Q & אתרי אינטרנט.

השאלה

SuperUser Reader agentnega רוצה לדעת מה הסכנות של הקלדת הסיסמה של אחד לתוך שם המשתמש תיבת טקסט בטעות הגשת זה יכול להיות:

נניח שהקלדת את הסיסמה שלי לתוך תיבת הטקסט שם המשתמש של אתר אינטרנט שביקר לעתים קרובות( httpsכמובן ) ופגע להיכנס לפני שמתי לב מה אני עושה.

האם הסיסמה שלי יושבת כעת בטקסט רגיל בקובץ יומן במקום כלשהו?כיצד ניתן לנצל את הטעות שלי על ידי שקרן ערמומי?עזור לי להבין את ההשלכות הביטחוניות בפועל, ללא קשר לסבירות שזה יקרה.

האם זה באמת להיות משהו להיות מודאג, או שאתה יכול להסתכל על זה כמו טעות פשוטה לשכוח את זה?

התשובה

SuperUser התורמים ניקולאי וגרגד יש את התשובה עבורנו.ראשית, ניקולאי:

זה תלוי בתצורה של מערכת האימות עבור האתר.אם זה היה ההתקנה כדי להיכנס כל הניסיונות, אז כן, זה עכשיו ביומן(

קובץ טקסט או מסד נתונים ) בטקסט רגיל.זה יכול להיראות כך:

12-Feb-2014 12:00:00 AM: משתמש ניסיוני התחברות נכשל( YOUR_PASSSORD_HERE) מ-( YOUR_IP_HERE);

או דומה.

זה עדיין נכון כי הסיסמה לא תהיה זמינה עבור משתמשים רגילים, רק עבור אלה שיש להם גישה לקבצי יומן.

מה ההשלכות זה אומר?

  • אם השרת היה פעם בסכנה, אז באופן תיאורטי, האקר תהיה הסיסמה שלך פשוט טקסט.
  • מנהל האתר יכול לעבור דרך קבע את קבצי היומן ולמצוא בטעות את הסיסמה שלך.לאחר מכן הוא יכול למצוא את כתובת ה- IP של הרשומה הזו, וכך הוא יכול תיאורטית לגלות מה שם המשתמש שלך ואת הדואר האלקטרוני( כי יש לו גישה למסד הנתונים).

אז, אם אתה משתמש באותה סיסמה דואר אלקטרוני /username/ באתרים אחרים, ואז לשנות את זה מיד.כי תמיד יש סיכוי שהסיסמה שלך תימצא.היומנים יכולים להישאר בשרתים במשך שנים.

ואחריו התשובה מ GregD:

בדיוק כפי שאמרת, יישומי אינטרנט נוטים לשמור יומני ניסיונות כניסה נכשלים.אם מישהו היה מסתכל דרך יומנים, הוא יכול להתחבר זה ניסיון כניסה מסוים עם אחד הניסיונות שלך מוצלח( כלומר באמצעות כתובת IP ).

למרות שאני לא חושב שזה צפוי לקרות, אתה תמיד יכול לשנות את זה כדי להיות בטוח.

עם מטח מתמיד של נתונים הפרות אנו קוראים ושומעים על הימים האלה, זה יהיה טוב יותר לשנות את הסיסמה עבור האתר המדובר( וכל האחרים עם אותה סיסמה ) עבור שקט נפשי.עדיף להיות בטוח מאשר מצטער כשזה מגיע לביטחון של חשבונות מקוונים שלך!

יש מה להוסיף להסבר?נשמע את ההערות.רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי?בדוק את נושא הדיון המלא כאן.