23Jul
Załóżmy, że masz zły dzień i spieszysz się, aby zalogować się do ulubionej witryny internetowej, a następnie niechcący przesłać hasło w polu tekstowym nazwy użytkownika. Czy powinieneś się martwić i zmienić hasło do tej strony, czy może to tylko bezpodstawny strach?
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupy Q & A.
Pytanie
Czytnik superużytkowników agentnega chce wiedzieć, jakie niebezpieczeństwa związane z wpisaniem hasła w polu tekstowym nazwy użytkownika i jego przypadkowym przesłaniem może być:
Załóżmy, że wpisałem hasło w polu nazwy użytkownika często odwiedzanej witryny( https)oczywiście ) i naciśnij Enter, zanim zauważyłem, co robię.
Czy moje hasło znajduje się teraz gdzieś w postaci zwykłego tekstu w pliku dziennika? Jak mój błąd mógł zostać wykorzystany przez sprytnego miscreanta? Pomóż mi zrozumieć rzeczywiste konsekwencje dla bezpieczeństwa, niezależnie od prawdopodobieństwa, że tak się rzeczywiście stanie.
Czy byłby to w rzeczywistości niepokój, czy może spojrzeć na to jako zwykły błąd i zapomnieć o tym?
Odpowiedź Odpowiedzialności
SuperUser Nikolay i GregD mają dla nas odpowiedź.Najpierw, Nikolay:
To zależy od konfiguracji systemu uwierzytelniania na stronie. Jeśli został skonfigurowany do rejestrowania jakichkolwiek prób, to tak, jest teraz w dzienniku( plik tekstowy lub baza ) w postaci zwykłego tekstu. Może wyglądać następująco:
12-lut-2014 12:00:00 AM: Niepomyślny użytkownik próbujący logowania( YOUR_PASSSORD_HERE) z( YOUR_IP_HERE);
lub podobne.
Nadal prawdą jest, że hasło nie będzie dostępne dla zwykłych użytkowników, tylko dla tych, którzy mają dostęp do plików dziennika.
Jakie są tego konsekwencje?
- Jeśli serwer został kiedykolwiek naruszony, to teoretycznie haker miałby twoje hasło do zwykłego tekstu.
- Administrator strony może rutynowo przeglądać pliki dziennika i przypadkowo znaleźć swoje hasło. Następnie może znaleźć adres IP, z którego pochodzi ten rekord, i dzięki temu teoretycznie może dowiedzieć się, jaka jest Twoja nazwa użytkownika i adres e-mail( ponieważ ma on dostęp do bazy danych).
Tak więc, jeśli używasz tego samego hasła /username/ e-mail na innych stronach internetowych, a następnie zmień go natychmiast. Ponieważ zawsze istnieje szansa, że twoje hasło zostanie znalezione. Dzienniki mogą pozostać na serwerach przez lata.
Po odpowiedzi od GregD:
Tak jak powiedziałeś, aplikacje internetowe zwykle przechowują logi nieudanych prób logowania. Jeśli ktoś przejrzy dzienniki, może połączyć tę konkretną próbę zalogowania z jedną z udanych prób( , tj. Za pośrednictwem adresu IP ).
Chociaż wydaje mi się, że tak się nie stanie, zawsze możesz to zmienić.
Ze względu na stały poziom naruszenia danych, o którym czytamy i słyszymy o tych dniach, lepiej jest zmienić hasło dla danej witryny( i wszystkich innych o tym samym haśle ), aby zapewnić spokój. Lepiej być bezpiecznym niż żałować, jeśli chodzi o bezpieczeństwo Twoich kont online!
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.