Załóżmy, że masz zły dzień i spiesz się, aby zalogować się do ulubionej witryny, a następnie niechcący poda swoje hasło w polu tekstowym nazwy użytkownika. Czy powinieneś się martwić i zmienić hasło do tej strony, czy może to po prostu bezpodstawny strach?
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Czytnik SuperUser agentnega chce wiedzieć, jakie niebezpieczeństwa związane z wpisywaniem swojego hasła w polu tekstowym nazwy użytkownika i jego przypadkowym przesłaniem może być:
Załóżmy, że wpisałem hasło w polu nazwy użytkownika często odwiedzanej witryny (https oczywiście) i naciśnij Enter, zanim zauważyłem, co robię.
Czy moje hasło znajduje się teraz gdzieś w postaci zwykłego tekstu w pliku dziennika? Jak mój błąd mógł zostać wykorzystany przez sprytnego miscreanta? Pomóż mi zrozumieć rzeczywiste skutki dla bezpieczeństwa, niezależnie od prawdopodobieństwa, że tak się rzeczywiście stanie.
Czy rzeczywiście byłoby to powodem do zmartwienia, czy też można by to uznać za zwykły błąd i zapomnieć o tym?
Dostawcy SuperUser, Nikolay i GregD, mają dla nas odpowiedź. Po pierwsze, Nikolay:
To zależy od konfiguracji systemu uwierzytelniania witryny. Jeśli został skonfigurowany do rejestrowania jakichkolwiek prób, to tak, jest teraz w dzienniku (plik tekstowy lub baza danych) w postaci zwykłego tekstu. Może wyglądać tak:
12-lut-2014 12:00:00 AM: Niepomyślny użytkownik, który próbował się zalogować (YOUR_PASSSORD_HERE) z (YOUR_IP_HERE);
lub podobne.
Nadal jest prawdą, że hasło nie będzie dostępne dla zwykłych użytkowników, tylko dla tych, którzy mają dostęp do plików dziennika.
Jakie konsekwencje to oznacza?
- Jeśli serwer został kiedykolwiek naruszony, to teoretycznie haker miałby twoje hasło do zwykłego tekstu.
- Administrator strony może rutynowo przeglądać pliki dziennika i przypadkowo znaleźć swoje hasło. Następnie może znaleźć adres IP, z którego pochodzi ten rekord, i dzięki temu teoretycznie może dowiedzieć się, jaka jest Twoja nazwa użytkownika i adres e-mail (ponieważ ma on dostęp do bazy danych).
Tak więc, jeśli używasz tego samego adresu e-mail / nazwy użytkownika / hasła na innych stronach internetowych, a następnie zmień go natychmiast. Ponieważ zawsze istnieje szansa, że twoje hasło zostanie znalezione. Dzienniki mogą pozostać na serwerach przez lata.
Następująca odpowiedź od GregD:
Tak jak powiedziałeś, aplikacje internetowe zwykle przechowują dzienniki nieudanych prób logowania. Jeśli ktoś przejrzy dzienniki, może połączyć tę konkretną próbę zalogowania z jedną z udanych prób (tj. za pośrednictwem adresu IP).
Chociaż nie wydaje mi się, żeby tak się stało, zawsze możesz to zmienić.
Przy ciągłym napadzie na naruszenia danych, o których czytamy i słyszymy o tych dniach, lepiej jest zmienić hasło dla danej witryny (i wszystkie inne o tym samym haśle) dla spokoju ducha. Lepiej być bezpiecznym niż żałować, jeśli chodzi o bezpieczeństwo Twoich kont online!
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.
