Załóżmy, że masz zły dzień i spieszysz się, aby zalogować się do ulubionej witryny, a następnie przypadkowo wprowadź hasło w polu tekstowym nazwy użytkownika. Powinieneś się martwić i zmienić hasło do tej witryny, czy jest to po prostu bezpodstawny strach?
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytelnik SuperUser agentnega chce wiedzieć, jakie niebezpieczeństwa związane z wpisaniem hasła w polu tekstowym nazwy użytkownika i przypadkowym wprowadzeniem go mogą być:
Załóżmy, że wpisałem swoje hasło w polu tekstowym nazwy użytkownika często odwiedzanej witryny ( Oczywiście https ) i wciśnij Enter, zanim zauważyłem, co robię.
Czy moje hasło jest teraz zapisane gdzieś w pliku dziennika w postaci zwykłego tekstu? Jak mój błąd mógł zostać wykorzystany przez przebiegłego złoczyńcę? Pomóż mi zrozumieć rzeczywiste konsekwencje dla bezpieczeństwa, niezależnie od prawdopodobieństwa, że tak się stanie.
Czy rzeczywiście byłby to powód do zmartwień, czy może mógłbyś potraktować to jako zwykły błąd i zapomnieć o nim?
Odpowiedź
Dostawcy SuperUser, Nikolay i GregD, mają dla nas odpowiedź. Po pierwsze, Nikolay:
Zależy to od konfiguracji systemu uwierzytelniania witryny. Jeśli skonfigurowano rejestrowanie wszelkich prób, to tak, jest teraz w dzienniku ( plik tekstowy lub baza danych ) zwykłym tekstem. Mogłoby to wyglądać tak:
12 lutego 2014 12:00:00: Nieudana próba zalogowania użytkownika (YOUR_PASSSORD_HERE) z (YOUR_IP_HERE);
lub podobne.
Nadal prawdą jest, że hasło nie będzie dostępne dla zwykłych użytkowników, tylko dla tych, którzy mają dostęp do plików dziennika.
Jakie to konsekwencje?
- Jeśli serwer zostałby kiedykolwiek naruszony, to teoretycznie haker miałby twoje hasło w postaci zwykłego tekstu.
- Administrator witryny mógł rutynowo przeglądać pliki dziennika i przypadkowo znaleźć Twoje hasło. Następnie może znaleźć adres IP, z którego pochodzi ten rekord, i dzięki temu teoretycznie może dowiedzieć się, jaka jest Twoja nazwa użytkownika i adres e-mail (ponieważ ma dostęp do bazy danych).
Jeśli więc używasz tego samego adresu e-mail / nazwy użytkownika / hasła na innych stronach internetowych, zmień go natychmiast. Ponieważ zawsze istnieje szansa, że Twoje hasło zostanie odkryte. Logi mogą pozostawać na serwerach przez lata.
Następnie odpowiedź od GregD:
Tak jak powiedziałeś, aplikacje internetowe zwykle przechowują dzienniki nieudanych prób logowania. Gdyby ktoś przejrzał dzienniki, mógłby połączyć tę konkretną próbę logowania z jedną z twoich udanych prób ( tj. poprzez adres IP ).
Chociaż nie sądzę, że tak się stanie, zawsze możesz to zmienić.
Przy ciągłym zalewie wycieków danych, o których czytamy i słyszymy w dzisiejszych czasach, lepiej byłoby zmienić hasło do danej witryny ( i inne osoby z tym samym hasłem ) dla spokoju ducha. Lepiej być bezpiecznym niż żałować, jeśli chodzi o bezpieczeństwo kont online!
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
