Kotisivu » miten » Mitkä ovat turvallisuusvaikutukset, jos salasana lähetetään käyttäjänimi-kenttään?

    Mitkä ovat turvallisuusvaikutukset, jos salasana lähetetään käyttäjänimi-kenttään?

    Oletetaan, että sinulla on huono päivä ja kiirehtiä kirjautumalla suosikkisivustollesi, ja lähetä sitten vahingossa salasanasi käyttäjätunnuksen tekstikenttään. Jos olet huolissasi ja vaihda salasanasi kyseiselle sivustolle, vai onko se vain perusteeton pelko?

    Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..

    Kysymys

    SuperUser-lukija agentnega haluaa tietää, millaisia ​​vaaroja salasanan kirjoittamisessa käyttäjätunnus-ruutuun ja vahingossa lähettäminen voi olla:

    Oletetaan, että kirjoitin salasanani usein vierailevan verkkosivuston käyttäjätunnusruutuun (https tietysti) ja paina Enter, ennen kuin huomasin mitä teen.

    Onko minun salasanani nyt tavallisessa tekstissä lokitiedostossa? Miten virhettäni voisi käyttää virheellistä vääryyttä? Auta minua ymmärtämään todelliset turvallisuusvaikutukset riippumatta siitä, kuinka todennäköistä se todella tapahtuu.

    Olisiko tämä todella jotain huolestuttavaa, vai voisitteko katsoa tätä yksinkertaisena virheenä ja unohtaa sen?

    Vastaus

    SuperUserin avustajat Nikolay ja GregD ovat vastaus meille. Ensinnäkin, Nikolay:

    Se riippuu verkkosivuston todennusjärjestelmän kokoonpanosta. Jos se oli asetettu kirjaamaan kaikki yritykset, niin kyllä, se on nyt lokissa (tekstitiedosto tai tietokanta) tekstinä. Se voisi näyttää tältä:

    12-helmikuu 2014 12:00:00 AM: epäonnistunut kirjautumisyritys käyttäjältä (YOUR_PASSSORD_HERE) (YOUR_IP_HERE);

    tai samankaltainen.

    On edelleen totta, että salasana ei ole tavallisten käyttäjien käytettävissä, vain niille, joilla on pääsy lokitiedostoihin.

    Mitä seurauksia se merkitsee?

    • Jos palvelin olisi koskaan vaarantunut, teoreettisesti hakkerilla olisi tavallinen tekstin salasana.
    • Sivuston ylläpitäjä voi rutiininomaisesti käydä läpi lokitiedostot ja löytää vahingossa salasanasi. Hän voi löytää IP-osoitteen, josta tämä tietue tuli, ja siten hän voi teoriassa selvittää, mitä käyttäjätunnuksesi ja sähköpostisi ovat (koska hänellä on pääsy tietokantaan).

    Jos siis käytät samaa sähköpostiosoitetta / käyttäjätunnusta / salasanaa muilla sivustoilla, vaihda se välittömästi. Koska on aina mahdollista, että salasanasi löytyy. Lokit voivat jäädä palvelimiin jo vuosia.

    GregD: n vastaus:

    Kuten sanoitte, web-sovellukset pitävät kirjautumisia epäonnistuneista kirjautumisyrityksistä. Jos joku tutkii lokit, hän voisi liittää tämän tietyn sisäänkirjautumisyrityksen yhteen onnistuneista yrityksistäsi (so. IP-osoitteen kautta).

    Vaikka en usko tämän olevan todennäköistä, voit aina muuttaa sitä varmasti.

    Kun luemme ja kuulemme näiden päivien aikana jatkuvasti tapahtuvan tietosuojarikkomuksen, on parempi vaihtaa kyseisen verkkosivuston salasana (ja kaikki muut, joilla on sama salasana) mielenrauhaa. On parempi olla turvallinen kuin pahoillani, kun on kyse verkkotiliensi turvallisuudesta!

    Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.

    Mitä ovat Sys Rq, Scroll Lock ja Pause Break Keys minun näppäimistössä?
    Mitkä ovat SysInternals-työkalut ja miten niitä käytetään?
    Mitkä ovat omaperäisimpiä Smarthome-laitteita?
    Seuraava artikkeli
    Mitkä ovat vaiheet tietokoneen julkisen IP-osoitteen löytämiseen?
    Edellinen artikkeli
    Mitä ovat Photoshop Express, Fix, Mix ja Sketch Mobile Apps?