यदि उपयोगकर्ता नाम फ़ील्ड में एक पासवर्ड सबमिट किया जाता है तो सुरक्षा निहितार्थ क्या हैं?

मान लीजिए कि आपका कोई बुरा दिन चल रहा है और किसी पसंदीदा वेबसाइट पर लॉगइन करने की जल्दी में है, तो गलती से अपना पासवर्ड यूजरनेम टेक्स्ट बॉक्स में सबमिट करें। क्या आपको चिंतित होना चाहिए और उस वेबसाइट के लिए अपना पासवर्ड बदलना चाहिए, या यह केवल आधारहीन डर है?

आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है - स्टैक एक्सचेंज का एक उपखंड, जो कि क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।

प्रश्न

सुपरयूज़र रीडर एजेंटनेगा जानना चाहता है कि उपयोगकर्ता नाम टेक्स्ट बॉक्स में किसी का पासवर्ड टाइप करने और गलती से जमा करने के क्या खतरे हो सकते हैं:

मान लें कि मैंने अपना पासवर्ड अक्सर देखी जाने वाली वेबसाइट के उपयोगकर्ता नाम टेक्स्ट बॉक्स में टाइप किया है ( बेशक ) और हिट दर्ज करने से पहले मैंने देखा कि मैं क्या कर रहा था।

क्या मेरा पासवर्ड अब लॉग फ़ाइल में सादे पाठ में कहीं बैठा है? एक चालाक बदमाश द्वारा मेरी गलती का फायदा कैसे उठाया जा सकता है? वास्तव में होने की संभावना की परवाह किए बिना वास्तविक सुरक्षा निहितार्थ को समझने में मेरी मदद करें।

क्या यह वास्तव में चिंतित होने वाली चीज होगी, या आप इसे एक साधारण गलती के रूप में देख सकते हैं और इसके बारे में भूल सकते हैं?

उत्तर

सुपरयूजर योगदानकर्ताओं निकोले और ग्रेग का जवाब हमारे लिए है। सबसे पहले, निकोले:

यह वेबसाइट के लिए प्रमाणीकरण प्रणाली के विन्यास पर निर्भर करता है। यदि यह किसी भी प्रयास को लॉग करने के लिए सेटअप किया गया था, तो हाँ, यह अब लॉग में है ( पाठ फ़ाइल या डेटाबेस ) सादे पाठ में। यह इस तरह दिख सकता है:

12-Feb-2014 12:00:00 AM: असफल लॉगिन प्रयास उपयोगकर्ता (your_PASSSORD_HERE) (Your_IP_HERE) से;

या इसी के समान।

यह अभी भी सही है कि एक पासवर्ड नियमित उपयोगकर्ताओं के लिए सुलभ नहीं होगा, केवल उन लोगों के लिए जिनके पास लॉग फाइल है।

इसका क्या परिणाम होता है?

• यदि सर्वर कभी समझौता किया गया था, तो सैद्धांतिक रूप से, हैकर के पास आपका सादा पाठ पासवर्ड होगा।
• वेबसाइट के प्रशासक नियमित रूप से लॉग फ़ाइलों के माध्यम से जा सकते हैं और गलती से अपना पासवर्ड पा सकते हैं। वह तब यह पता कर सकता है कि यह रिकॉर्ड किस आईपी पते से आया है, और इस प्रकार वह सैद्धांतिक रूप से यह पता लगा सकता है कि आपका उपयोगकर्ता नाम और ई-मेल क्या है (क्योंकि उसके पास डेटाबेस तक पहुंच है)।

इसलिए, यदि आप अन्य वेबसाइटों पर समान ई-मेल / उपयोगकर्ता नाम / पासवर्ड का उपयोग करते हैं, तो इसे तुरंत बदल दें। क्योंकि हमेशा एक मौका होता है कि आपका पासवर्ड पता चल जाएगा। लॉग वर्षों तक सर्वर पर बने रह सकते हैं।

ग्रेग से जवाब द्वारा पीछा किया:

जैसा कि आपने कहा था, वेब एप्लिकेशन असफल लॉगिन प्रयासों के लॉग रखने के लिए जाते हैं। यदि किसी को लॉग के माध्यम से देखना था, तो वह इस विशेष लॉगिन प्रयास को आपके सफल प्रयासों में से एक के साथ जोड़ सकता है ( यानी आईपी एड्रेस के जरिए ).

हालांकि मुझे नहीं लगता कि ऐसा होने की संभावना है, लेकिन आप हमेशा इसे सुनिश्चित कर सकते हैं।

इन दिनों डेटा उल्लंघनों के निरंतर बैराज के साथ, हम पढ़ते और सुनते हैं, प्रश्न में वेबसाइट के लिए पासवर्ड बदलना बेहतर होगा ( और उसी पासवर्ड के साथ कोई अन्य ) मन की शांति के लिए। जब आपके ऑनलाइन खातों की सुरक्षा की बात आती है, तो क्षमा करना सुरक्षित होना बेहतर होता है!

---

स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में विचार व्यक्त करो। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक जवाब पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें .