23Jul
Tarkime, kad turite blogą dieną ir skubėdami prisijungti prie mėgstamos svetainės, tada atsitiktinai pateikite savo slaptažodį vartotojo vardo teksto laukelyje. Ar turėtumėte nerimauti ir pakeisti savo tinklalapio slaptažodį, ar tai tiesiog nepagrįsta baimė?
Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.
Klausimas
SuperUser skaitytuvas agentnega nori sužinoti, kokius pavojus įvesti savo slaptažodį į vartotojo vardo laukelį ir netyčia jį pateikti:
Tarkime, kad įvediau savo slaptažodį į dažnai lankomos svetainės( https) vartotojo vardo laukelįžinoma, ) ir paspauskite "Enter", kol pastebėjau, ką darau.
Ar mano slaptažodis dabar sėdi paprastu tekstu žurnalo failo kažkur? Kaip mano klaida galėjo būti išnaudota apgaulingų piktadarių?Padėkite man suprasti faktines saugumo pasekmes, neatsižvelgiant į tikimybę, kad tai iš tikrųjų vyksta.
Ar tai iš tikrųjų gali kelti nerimą, ar galėtumėte tai suprasti kaip paprastą klaidą ir pamiršti apie tai?
Atsakymas
SuperUser autoriai Nikolajus ir GregD atsakė už mus. Pirmiausia, Nikolajus:
Tai priklauso nuo svetainės autentifikavimo sistemos konfigūracijos. Jei jis buvo nustatytas registruoti bet kokius bandymus, tada taip, jis dabar yra žurnale( tekstinį failą arba duomenų bazę ) paprastu tekstu. Tai gali atrodyti taip:
12-vasario-2014 12:00:00 AM: nepavyko prisijungti bandyti naudotoją( YOUR_PASSSORD_HERE) iš( YOUR_IP_HERE);
ar pan.
Vis dar tiesa, kad slaptažodis nebus prieinamas reguliariems vartotojams, tik tiems, kurie turi prieigą prie žurnalo failų.
Kokios pasekmės tai reiškia?
- Jei serveris kada nors buvo pažeistas, teoriškai, įsilaužėlis turės jūsų paprasto teksto slaptažodį.
- Tinklalapio administratorius gali reguliariai tikrinti žurnalo failus ir netyčia rasti jūsų slaptažodį.Tada jis gali rasti IP adresą, nuo kurio atsirado šis įrašas, taigi jis teoriškai gali sužinoti, kas yra jūsų vartotojo vardas ir el. Paštas( nes jis turi prieigą prie duomenų bazės).
Taigi, jei naudojate tą patį el. Pašto /username/ slaptažodį kitose svetainėse, tada nedelsdami pakeiskite. Kadangi visada yra tikimybė, kad bus nustatytas jūsų slaptažodis. Rąstai gali likti serveriuose jau daugelį metų.
Vykdant GregD atsakymą:
Kaip jau minėjote, žiniatinklio programos paprastai saugo žurnalus apie nesėkmingus prisijungimo bandymus. Jei kas nors žiūrėtų į žurnalus, jis galėjo prisijungti prie šios konkrečios prisijungimo bandymo vienu iš jūsų sėkmingų bandymų( , t. Y. Per IP adresą ).
Nors nemanau, kad taip atsitiks, bet visada galite jį pakeisti.
. Esant nuolatiniam duomenų pažeidimų užkeliamumui, kurį mes skaitome ir girdėjome apie šias dienas, būtų geriau pakeisti minėtos svetainės( ir visi kiti su tuo pačiu slaptažodžiu ) slaptažodį, kad būtų ramybė.Geriau, kai kalbama apie jūsų internetinių sąskaitų saugumą, saugiau nei atsiprašau!
Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.