Aké sú bezpečnostné dôsledky pre zadanie hesla do poľa používateľského mena?
Predpokladajme, že máte zlý deň a rýchlo sa prihlásite na obľúbenú webovú stránku, a potom namiesto toho zadajte svoje heslo do textového poľa používateľského mena. Mali by ste sa obávať a zmeniť svoje heslo pre túto webovú stránku, alebo je to len bezdôvodný strach?
Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.
Otázka
Čítačka SuperUser agentnega chce vedieť, aké sú nebezpečenstvá zadávania hesla do textového poľa používateľského mena a náhodným odoslaním môže byť:
Povedzme, že som zadal svoje heslo do textového poľa používateľského mena často navštevovanej webovej lokality (https samozrejme) a stlačte Enter, než som si všimol, čo robím.
Je moje heslo teraz sedieť v obyčajnom texte v súbore denníka niekde? Ako mohol moja chyba zneužiť šikovný skalár? Pomôžte mi pochopiť skutočné dôsledky na bezpečnosť bez ohľadu na pravdepodobnosť, že sa skutočne deje.
Mohlo by to byť niečo, čo by sa malo obávať, alebo by ste sa na to mohli pozerať ako na jednoduchú chybu a zabudnúť na to?
Odpoveď
Sponzori SuperUser Nikolay a GregD majú odpoveď pre nás. Po prvé, Nikolay:
Závisí to od konfigurácie overovacieho systému pre webové stránky. Ak bolo nastavenie na zaznamenanie akýchkoľvek pokusov, potom áno, je teraz v denníku (textový súbor alebo databázu) v obyčajnom texte. Môže to vyzerať takto:
12. február 2014 12:00:00: Neúspešný pokus o prihlásenie používateľa (YOUR_PASSSORD_HERE) z (YOUR_IP_HERE);
alebo podobne.
Stále platí, že heslo nebude dostupné pre bežných používateľov, iba pre tých, ktorí majú prístup k súborom denníka.
Aké dôsledky to znamená?
- Ak by bol server niekedy kompromitovaný, teoreticky by hacker mal mať vaše heslo pre čistý text.
- Správca webových stránok by mohol zvyčajne prechádzať cez súbory denníkov a náhodou nájsť vaše heslo. Potom môže nájsť adresu IP, z ktorej tento záznam pochádza, a preto môže teoreticky zistiť, aké sú vaše používateľské meno a e-mail (pretože má prístup do databázy).
Ak používate rovnaké e-mailové / používateľské meno / heslo na iných webových stránkach, okamžite ich zmeňte. Pretože je vždy pravdepodobné, že vaše heslo bude zistené. Záznamy môžu zostať na serveroch už roky.
Nasledovala odpoveď od GregD:
Rovnako ako ste povedali, webové aplikácie majú tendenciu uchovávať záznamy neúspešných pokusov o prihlásenie. Ak by sa niekto musel pozrieť cez protokoly, mohol by pripojiť tento konkrétny pokus o prihlásenie s jedným z vašich úspešných pokusov (t.j. prostredníctvom IP adresy).
Aj keď si nemyslím, že sa to pravdepodobne stane, môžete to vždy zmeniť.
Pri neustálom zabraňovaní narušeniach údajov, ktoré sme o týchto dňoch čítali a počuli, bolo by lepšie zmeniť heslo pre danú webovú stránku (a ostatné s rovnakým heslom) pre pokoj. Je lepšie byť bezpečné, ako ľutovať, pokiaľ ide o bezpečnosť vašich online účtov!
Máte niečo doplniť vysvetlenie? Znie to v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.