23Jul
Anta att du har en dålig dag och bråttom för att logga in på en favoritwebbplats, och lägg sedan in ditt lösenord i användarnamnet. Skulle du vara orolig och ändra ditt lösenord för den webbplatsen, eller är det bara grundlös rädsla?
Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsaren agentnega vill veta vad farorna med att skriva ett lösenord i användarnamnet textrutan och av misstag skickar det kan vara:
Låt oss säga att jag har skrivit mitt lösenord i användarnamnet textrutan på en ofta besökta webbplats( httpsförstås ) och slog in innan jag märkte vad jag gjorde.
Är mitt lösenord nu sitter i vanlig text i en loggfil någonstans? Hur kunde mitt misstag utnyttjas av en häftig miscreant? Hjälp mig att förstå de faktiska säkerhetsimplikationerna oavsett sannolikheten för att det verkligen händer.
Skulle detta faktiskt vara något att oroa sig för, eller kan du titta på detta som ett enkelt misstag och glömma det?
Svaret
SuperUser-bidragsgivare Nikolay och GregD har svaret för oss. Först upp, Nikolay:
Det beror på konfigurationen av autentiseringssystemet för webbplatsen. Om det var setup att logga några försök, ja, det är nu i loggen( textfil eller databas ) i vanlig text. Det kan se ut så här:
12-feb-2014 12:00:00: misslyckad inloggningsförsök användare( YOUR_PASSSORD_HERE) från( YOUR_IP_HERE);
eller liknande.
Det är fortfarande sant att ett lösenord inte kommer att vara tillgängligt för vanliga användare, bara för dem som har tillgång till loggfiler.
Vilka konsekvenser innebär det?
- Om servern någonsin äventyras, så hade hackaren teoretiskt ha ditt vanliga textlösenord.
- Webbplatsens administratör kan rutinmässigt gå igenom loggfilerna och hitta misstag ditt lösenord. Han kan då hitta den IP-adress den här posten kom ifrån, och därmed kan han teoretiskt få reda på vad ditt användarnamn och e-post är( eftersom han har tillgång till databasen).
Så om du använder samma e-post /username/ lösenord på andra webbplatser, ändra sedan det omedelbart. Eftersom det alltid finns en chans att ditt lösenord kommer att hittas. Loggar kan förbli på servrar i flera år.
Följd av svaret från GregD:
Precis som du sa, brukar webbapplikationer hålla loggar på misslyckade inloggningsförsök. Om någon skulle titta igenom loggarna kunde han koppla in det här inloggningsförsöket med en av dina framgångsrika försök( , dvs via IP-adress ).
Även om jag inte tror att det här kommer troligen att hända, kan du alltid ändra det.
Med den ständiga spärrningen av dataöverträdelser vi läser och hör om dessa dagar skulle det vara bättre att ändra lösenordet för den aktuella webbplatsen( och alla andra med samma lösenord ) för sinnesfrid. Det är bättre att vara säker än förlåt när det gäller säkerheten för dina onlinekonton!
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.