Misalkan Anda mengalami hari yang buruk dan terburu-buru untuk masuk ke situs web favorit, maka secara tidak sengaja memasukkan kata sandi Anda di kotak teks nama pengguna. Haruskah Anda khawatir dan mengubah kata sandi Anda untuk situs web itu, atau apakah itu hanya ketakutan yang tidak berdasar?
Sesi Tanya & Jawab hari ini hadir atas kebaikan SuperUser — subdivisi Stack Exchange, pengelompokan situs web Tanya Jawab berbasis komunitas.
Pertanyaan
Agentnega pembaca SuperUser ingin tahu apa bahayanya mengetik sandi seseorang ke dalam kotak teks nama pengguna dan secara tidak sengaja mengirimkannya bisa jadi:
Misalkan saya mengetik sandi saya ke dalam kotak teks nama pengguna dari situs web yang sering dikunjungi ( https tentu saja ) dan tekan enter sebelum saya menyadari apa yang saya lakukan.
Apakah kata sandi saya sekarang ada dalam teks biasa di file log di suatu tempat? Bagaimana kesalahan saya bisa dieksploitasi oleh penjahat licik? Bantu saya memahami implikasi keamanan aktual terlepas dari kemungkinan hal itu benar-benar terjadi.
Apakah ini benar-benar sesuatu yang perlu dikhawatirkan, atau dapatkah Anda melihat ini sebagai kesalahan sederhana dan melupakannya?
Jawabannya
Kontributor SuperUser Nikolay dan GregD punya jawabannya untuk kami. Pertama, Nikolay:
Itu tergantung pada konfigurasi sistem otentikasi untuk situs web. Jika itu diatur untuk mencatat upaya apa pun, maka ya, sekarang ada di log ( file teks atau database ) dalam teks biasa. Ini bisa terlihat seperti ini:
12-Feb-2014 12:00:00 AM: Pengguna upaya login yang gagal (YOUR_PASSSORD_HERE) dari (YOUR_IP_HERE);
atau serupa.
Memang benar bahwa kata sandi tidak akan dapat diakses oleh pengguna biasa, hanya untuk mereka yang memiliki akses ke file log.
Konsekuensi apa yang disiratkannya?
- Jika server pernah disusupi, maka secara teoritis, peretas akan memiliki kata sandi teks biasa Anda.
- Administrator situs web dapat secara rutin memeriksa file log dan secara tidak sengaja menemukan sandi Anda. Dia kemudian dapat menemukan alamat IP dari rekaman ini, dan dengan demikian dia secara teoritis dapat mengetahui nama pengguna dan email Anda (karena dia memiliki akses ke database).
Jadi, jika Anda menggunakan e-mail / username / password yang sama di website lain, segera ubah. Karena selalu ada kemungkinan kata sandi Anda ditemukan. Log dapat tetap berada di server selama bertahun-tahun.
Diikuti oleh jawaban dari GregD:
Seperti yang Anda katakan, aplikasi web cenderung menyimpan catatan percobaan login yang tidak berhasil. Jika seseorang melihat log, dia dapat menghubungkan upaya masuk khusus ini dengan salah satu upaya Anda yang berhasil ( yaitu melalui alamat IP ).
Meskipun menurut saya ini tidak mungkin terjadi, Anda selalu dapat mengubahnya dengan pasti.
Dengan rentetan pelanggaran data yang terus-menerus yang kita baca dan dengar akhir-akhir ini, akan lebih baik untuk mengubah kata sandi untuk situs web yang dimaksud ( dan lainnya dengan sandi yang sama ) untuk ketenangan pikiran. Lebih baik merasa aman daripada menyesal dalam hal keamanan akun online Anda!
Punya sesuatu untuk ditambahkan ke penjelasannya? Suarakan di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi? Lihat utas diskusi lengkap di sini .
