Suponha que você esteja tendo um dia ruim e com pressa para fazer login em um site favorito e, em seguida, envie acidentalmente sua senha na caixa de texto do nome de usuário. Você deveria se preocupar e alterar a senha desse site ou é apenas um medo infundado?
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
SuperUser reader agentnega quer saber quais são os perigos de digitar uma senha na caixa de texto do nome de usuário e enviá-la acidentalmente:
Digamos que eu digitei minha senha na caixa de texto de nome de usuário de um site frequentemente visitado ( https é claro ) e pressione Enter antes de perceber o que estava fazendo.
Minha senha está em texto simples em um arquivo de log em algum lugar? Como meu erro poderia ser explorado por um vilão astuto? Ajude-me a entender as implicações reais de segurança, independentemente da probabilidade de isso realmente acontecer.
Isso seria realmente algo com que se preocupar ou você poderia encarar isso como um erro simples e esquecê-lo?
A resposta
Os contribuidores SuperUser Nikolay e GregD têm a resposta para nós. Primeiro, Nikolay:
Depende da configuração do sistema de autenticação do site. Se foi configurado para registrar qualquer tentativa, então sim, agora está no registro ( arquivo de texto ou banco de dados ) em texto simples. Pode ser assim:
12-Fev-2014 12:00:00 AM: Usuário de tentativa de login malsucedido (YOUR_PASSSORD_HERE) de (YOUR_IP_HERE);
ou similar.
Ainda é verdade que uma senha não estará acessível para usuários regulares, apenas para aqueles que têm acesso aos arquivos de log.
Que consequências isso implica?
- Se o servidor fosse comprometido, teoricamente, o hacker teria sua senha em texto simples.
- O administrador do site pode acessar rotineiramente os arquivos de registro e acidentalmente encontrar sua senha. Ele pode então encontrar o endereço IP de onde veio esse registro e, portanto, ele pode, teoricamente, descobrir qual é o seu nome de usuário e e-mail (porque ele tem acesso ao banco de dados).
Portanto, se você usar o mesmo e-mail / nome de usuário / senha em outros sites, altere-o imediatamente. Porque sempre há uma chance de que sua senha seja descoberta. Os logs podem permanecer nos servidores por anos.
Seguido pela resposta de GregD:
Como você disse, os aplicativos da web tendem a manter registros de tentativas de login malsucedidas. Se alguém olhasse os registros, ele poderia conectar esta tentativa de login em particular com uma de suas tentativas bem-sucedidas ( ou seja, via endereço IP ).
Embora eu não ache que isso aconteça, você sempre pode mudar isso, tenha certeza.
Com a enxurrada constante de violações de dados que lemos e ouvimos falar atualmente, seria melhor alterar a senha do site em questão ( e quaisquer outros com a mesma senha ) para sua paz de espírito. É melhor prevenir do que remediar quando se trata da segurança de suas contas online!
Tem algo a acrescentar à explicação? Som desligado nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui .
