23Jul
Anta at du har en dårlig dag og har det travelt med å logge inn på en favoritt nettside, og send da passordet ditt i tekstboksen brukernavn istedet. Skulle du være bekymret og endre passordet ditt for den nettsiden, eller er det bare grunnløs frykt?
Dagens Spørsmål &Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser leser agentnega vil vite hva farene ved å skrive sitt passord inn i brukernavnetes tekstboks og ved et uhell sende inn det kan være:
La oss si at jeg skrev inn passordet mitt i brukernavnetes tekstboks på et ofte besøkt nettsted( httpsselvfølgelig ) og slo inn før jeg la merke til hva jeg gjorde.
Er passordet mitt nå i vanlig tekst i en loggfil et sted? Hvordan kan feilen min utnyttes av en sløsing? Hjelp meg å forstå de faktiske sikkerhetsimplikasjonene, uansett sannsynligheten for at det faktisk skjer.
Ville dette faktisk være noe å være bekymret for, eller kan du se på dette som en enkel feil og glemme det?
Svaret
SuperUser-bidragsytere Nikolay og GregD har svaret for oss. Først opp, Nikolay:
Det avhenger av konfigurasjonen av autentiseringssystemet for nettstedet. Hvis det var oppsett for å logge på noen forsøk, så ja, det er nå i loggen( tekstfil eller database ) i vanlig tekst. Det kan se slik ut:
12-Feb-2014 12:00:00: Unsuccessful login user( YOUR_PASSSORD_HERE) fra( YOUR_IP_HERE);
eller lignende.
Det er fortsatt sant at et passord ikke vil være tilgjengelig for vanlige brukere, bare for de som har tilgang til loggfiler.
Hvilke konsekvenser innebærer det?
- Hvis serveren noensinne ble kompromittert, ville teakeren ha teoretisk tekstpassord.
- Nettstedets administrator kan rutinemessig gå gjennom loggfilene og ved et uhell finne passordet ditt. Han kan da finne IP-adressen denne posten kom fra, og dermed kan han teoretisk finne ut hva ditt brukernavn og e-post er( fordi han har tilgang til databasen).
Så, hvis du bruker samme e-post /username/-passord på andre nettsteder, endrer du det umiddelbart. Fordi det alltid er en sjanse for at passordet ditt blir funnet ut. Logger kan forbli på servere i mange år.
Etterfulgt av svaret fra GregD:
Som du sa, pleier webapplikasjoner å holde logger av mislykkede påloggingsforsøk. Hvis noen skulle se gjennom loggene, kunne han koble dette spesielle påloggingsforsøket med et av dine vellykkede forsøk( , dvs. via IP-adresse ).
Selv om jeg ikke tror dette er sannsynlig å skje, kan du alltid endre det, være sikker.
Med den konstante sperringen av data brudd vi leser og hører om disse dager, ville det være bedre å endre passordet for nettstedet i spørsmålet( og alle andre med samme passord ) for trygghet. Det er bedre å være trygg enn unnskyld når det gjelder sikkerheten til dine elektroniske kontoer!
Har du noe å legge til forklaringen? Lyder av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.