Jaké jsou bezpečnostní důsledky, pokud je v poli Uživatelské jméno zadáno heslo?

Obsah:

Video: Jaké jsou bezpečnostní důsledky, pokud je v poli Uživatelské jméno zadáno heslo?

Video: Jaké jsou bezpečnostní důsledky, pokud je v poli Uživatelské jméno zadáno heslo?
Video: How Netflix’s possible new regulations can affect you 2024, Březen
Jaké jsou bezpečnostní důsledky, pokud je v poli Uživatelské jméno zadáno heslo?
Jaké jsou bezpečnostní důsledky, pokud je v poli Uživatelské jméno zadáno heslo?
Anonim
Předpokládejme, že máte špatný den a spěcháte se při přihlášení k oblíbeným webovým stránkám, a pak místo toho nechtěně odešlete své heslo do textového pole uživatelského jména. Měli byste se obávat a změnit své heslo pro tyto webové stránky, nebo je to jen bezpředmětný strach?
Předpokládejme, že máte špatný den a spěcháte se při přihlášení k oblíbeným webovým stránkám, a pak místo toho nechtěně odešlete své heslo do textového pole uživatelského jména. Měli byste se obávat a změnit své heslo pro tyto webové stránky, nebo je to jen bezpředmětný strach?

Dnešní zasedání Otázky a odpovědi se k nám přichází s laskavým svolením SuperUser - rozdělení Stack Exchange, komunitní skupiny webových stránek pro otázky a odpovědi.

Otázka

Čtenářka agentu SuperUser chce vědět, jaké jsou nebezpečí při psaní hesla do textového pole uživatelského jména a náhodným odesláním může být:

Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.

Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implications regardless of the likelihood of it actually happening.

Bylo by to vlastně něco, na co byste měli mít obavy, nebo byste se na to mohli podívat jako na jednoduchou chybu a zapomenout na to?

Odpověď

Sponzoři společnosti SuperUser Nikolay a GregD mají pro nás odpověď. První, Nikolay:

It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);

or similar.

It is still true that a password will not be accessible for regular users, only for those who have access to log files.

What consequences does it imply?

  • If the server was ever compromised, then theoretically, the hacker would have your plain text password.
  • The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).

So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.

Následuje odpověď od GregD:

Just as you said, web applications tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).

Though I do not think this is likely to happen, you can always change it be sure.

Při neustálém zabraňování narušení dat, které o těchto dnech čteme a slyšíme, bylo by lepší změnit heslo pro danou webovou stránku (a všechny ostatní se stejným heslem) pro klid. Je lepší být v bezpečí, než je to líto, pokud jde o bezpečnost vašich online účtů!

Musíte něco přidat k vysvětlení? Zní to v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.

Doporučuje: