Jakie są konsekwencje bezpieczeństwa związane z przesłaniem hasła w polu nazwy użytkownika?

19

Załóżmy, że wpisałem hasło w polu tekstowym nazwy użytkownika często odwiedzanej witryny (oczywiście https) i naciśnij Enter, zanim zauważyłem, co robię.

Czy moje hasło jest teraz gdzieś w postaci zwykłego tekstu w pliku dziennika? Jak mój błąd mógł zostać wykorzystany przez sprytnego łobuza? Pomóż mi zrozumieć faktyczne konsekwencje dla bezpieczeństwa, niezależnie od prawdopodobieństwa, że ​​to się faktycznie wydarzy.

security passwords agentnega
źródło
4
Nie rozumiem, dlaczego to pytanie jest oznaczone jako „oparte na opiniach”. Jasno pyta: „Jakie są implikacje dla bezpieczeństwa”, które mogą (i przynajmniej przy przyjętej odpowiedzi) być poparte faktami.
Calimo
To jest temat na security.stackexchange.com
kinokijuf
@kinokijuf: Na pewno jednak najpierw to rozważyłem Information Security Stack Exchange is a question and answer site for Information security professionals. Nie jestem jednym i nie wydaje mi się, żebyśmy potrzebowali odpowiedzi na to pytanie. Popełniłem błąd, który mógł popełnić każdy użytkownik, i uważam, że odpowiedzi są interesujące dla użytkowników, a nie specjalistów ds. Bezpieczeństwa. Jednak z pewnością mogę się mylić.
agentnega
Masz rację, powinno być zamknięte jako „zbyt szerokie”
losowo

Odpowiedzi:

18

Zależy to od konfiguracji systemu uwierzytelniania strony. Jeśli skonfigurowano rejestrowanie prób - niż tak, teraz znajduje się w dzienniku (plik tekstowy lub baza danych) w postaci zwykłego tekstu. Może to wyglądać tak:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

lub podobne.

Nadal prawdą jest, że hasło nie będzie dostępne dla zwykłych użytkowników. Tylko dla tych, którzy mają dostęp do plików dziennika.

Jakie to pociąga za sobą konsekwencje?

  • Jeśli serwer zostanie naruszony - wtedy haker teoretycznie będzie miał hasło w postaci zwykłego tekstu.
  • Administrator witryny może rutynowo przechodzić przez pliki dziennika i przypadkowo znaleźć hasło. Może wtedy znaleźć adres IP, z którego pochodzi ten rekord, a zatem teoretycznie może znaleźć Twoją nazwę użytkownika i adres e-mail (ponieważ ma dostęp do bazy danych).

Jeśli więc masz ten sam adres e-mail / nazwę użytkownika / hasło do innych zasobów - zmień je natychmiast. Ponieważ są szanse, że twoje hasło zostanie odnalezione. Dzienniki mogą pozostawać na serwerach przez lata.

VL-80
źródło
8
Może również istnieć lokalny zapis Twojej próby. Wiele (większość?) Przeglądarek ma funkcję autouzupełniania, która jest domyślnie włączona i zapisuje niektóre wpisy formularza - nazwę użytkownika, adres e-mail, numer telefonu itp. - dla Twojej wygody. Jeśli ponownie otworzysz stronę logowania, kliknij pole nazwy użytkownika i naciśnij klawisz strzałki w dół, aby zobaczyć swoje hasło na liście wraz z nazwami użytkowników. Możesz go usunąć z listy, jednak aby być całkowicie bezpiecznym, najlepiej zmienić hasło zgodnie z powyższym opisem.
gm2
5

Tak jak powiedziałeś, aplikacje internetowe przechowują dzienniki nieudanych prób logowania. Jeśli ktoś przegląda dzienniki, może połączyć tę konkretną próbę logowania z inną, udaną próbą (np. Za pomocą adresu IP).

Chociaż nie sądzę, że tak się może stać, zawsze możesz to zmienić.

dominiczaq
źródło