悪い日を過ごしていて、お気に入りのWebサイトにログインするのを急いでいる場合、代わりにユーザー名のテキストボックスに誤ってパスワードを送信したとします。あなたは心配してそのウェブサイトのパスワードを変更する必要がありますか、それとも単に根拠のない恐怖ですか?
今日の質疑応答セッションは、コミュニティ主導のQ&AWebサイトのグループであるStackExchangeの下位区分であるSuperUserの好意で行われます。
質問
スーパーユーザーリーダーagentnegaは、ユーザー名のテキストボックスにパスワードを入力して誤って送信することの危険性を知りたいと考えています。
頻繁にアクセスするWebサイトのユーザー名テキストボックスにパスワードを入力したとします( もちろんhttps )そして、自分が何をしているかに気付く前に、Enterキーを押します。
パスワードはログファイルのどこかにプレーンテキストで表示されていますか?狡猾な悪党が私の間違いをどのように悪用することができますか?実際に発生する可能性に関係なく、実際のセキュリティへの影響を理解するのを手伝ってください。
これは実際に心配なことでしょうか、それとも単純な間違いと見なして忘れてしまうのでしょうか。
答え
スーパーユーザーの貢献者であるNikolayとGregDが答えを持っています。まず、ニコライ:
Webサイトの認証システムの構成によって異なります。試行をログに記録するように設定されている場合は、はい、ログに記録されます( テキストファイルまたはデータベース )プレーンテキスト。次のようになります。
2014年2月12日12:00:00 AM:(YOUR_IP_HERE);からのログイン試行ユーザー(YOUR_PASSSORD_HERE)が失敗しました。
または類似。
通常のユーザーがパスワードにアクセスすることはできず、ログファイルにアクセスできるユーザーのみがアクセスできることは事実です。
それはどのような結果を意味しますか?
- サーバーが危険にさらされた場合、理論的には、ハッカーはプレーンテキストのパスワードを持っているでしょう。
- Webサイトの管理者は、定期的にログファイルを調べて、誤ってパスワードを見つける可能性があります。次に、このレコードの元のIPアドレスを見つけることができるため、理論的には、ユーザー名と電子メールが何であるかを知ることができます(データベースにアクセスできるため)。
したがって、他のWebサイトで同じ電子メール/ユーザー名/パスワードを使用している場合は、すぐに変更してください。あなたのパスワードが見つかる可能性は常にあるからです。ログはサーバーに何年も残る可能性があります。
GregDからの回答が続きます:
あなたが言ったように、Webアプリケーションは失敗したログイン試行のログを保持する傾向があります。誰かがログを調べた場合、彼はこの特定のログイン試行を成功した試行の1つに関連付けることができます( つまり、IPアドレス経由 )。
これが起こる可能性は低いと思いますが、いつでも確実に変更できます。
最近私たちが読んだり聞いたりするデータ侵害が絶え間なく続いているため、問題のWebサイトのパスワードを変更することをお勧めします( および同じパスワードを持つ他の人 )安心のために。オンラインアカウントのセキュリティに関しては、後悔するよりも安全である方がよいでしょう。
説明に追加するものがありますか?コメントで音を立ててください。他の技術に精通したStackExchangeユーザーからの回答をもっと読みたいですか? ここで完全なディスカッションスレッドをチェックしてください 。
