Hjemmeside » hvordan » Hva er sikkerhetsimplikasjonene hvis et passord sendes inn i brukernavnet?

    Hva er sikkerhetsimplikasjonene hvis et passord sendes inn i brukernavnet?

    Anta at du har en dårlig dag og har det travelt med å logge inn på en favoritt nettside, og deretter send inn passordet ditt i tekstboksen brukernavn istedet. Skulle du være bekymret og endre passordet ditt for den nettsiden, eller er det bare grunnløs frykt?

    Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.

    Spørsmålet

    SuperUser leser agentnega vil vite hva farene ved å skrive sitt passord inn i brukernavnet tekstboksen og ved et uhell sende det kunne være:

    La oss si at jeg skrev inn passordet mitt i brukernavnetes tekstboks på et ofte besøkt nettsted (https selvfølgelig) og slo inn før jeg la merke til hva jeg gjorde.

    Er passordet mitt nå i vanlig tekst i en loggfil et sted? Hvordan kan feilen min utnyttes av en smidig miscreant? Hjelp meg å forstå de faktiske sikkerhetsimplikasjonene, uansett sannsynligheten for at det faktisk skjer.

    Ville dette faktisk være noe å være bekymret for, eller kan du se på dette som en enkel feil og glemme det?

    Svaret

    SuperUser-bidragsytere Nikolay og GregD har svaret for oss. Først opp, Nikolay:

    Det avhenger av konfigurasjonen av autentiseringssystemet for nettstedet. Hvis det var oppsett for å logge på noen forsøk, så ja, det er nå i loggen (tekstfil eller database) i vanlig tekst. Det kan se slik ut:

    12-Feb-2014 12:00:00: Mislykket påloggingsforsøk bruker (YOUR_PASSSORD_HERE) fra (YOUR_IP_HERE);

    eller liknende.

    Det er fortsatt sant at et passord ikke vil være tilgjengelig for vanlige brukere, bare for de som har tilgang til loggfiler.

    Hvilke konsekvenser innebærer det?

    • Hvis serveren noensinne ble kompromittert, så ville hackeren din teoretisk ha ditt ordinnpassede tekstpassord.
    • Nettstedets administrator kan rutinemessig gå gjennom loggfilene og ved et uhell finne passordet ditt. Han kan da finne den IP-adressen denne posten kom fra, og dermed kan han teoretisk finne ut hva ditt brukernavn og e-post er (fordi han har tilgang til databasen).

    Så, hvis du bruker samme e-post / brukernavn / passord på andre nettsteder, endrer du det umiddelbart. Fordi det alltid er en sjanse for at passordet ditt blir funnet ut. Logger kan forbli på servere i mange år.

    Etterfulgt av svaret fra GregD:

    Som du sa, pleier webapplikasjoner å holde logger av mislykkede påloggingsforsøk. Hvis noen skulle se gjennom loggene, kunne han koble dette spesielle påloggingsforsøket med et av dine vellykkede forsøk (dvs. via IP-adresse).

    Selv om jeg ikke tror dette er sannsynlig å skje, kan du alltid endre det, være sikker.

    Med den konstante sperringen av data brudd vi leser og hører om disse dager, ville det være bedre å endre passordet for den aktuelle nettsiden (og alle andre med samme passord) for fred i sinnet. Det er bedre å være trygg enn unnskyld når det gjelder sikkerheten til dine elektroniske kontoer!

    Har du noe å legge til forklaringen? Lyder av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.

    Hva er Sys Rq, Scroll Lock og Pause Break Taster på mitt tastatur?
    Hva er SysInternals Tools og hvordan bruker du dem?
    Hva er de mest fordelaktige Smarthome-enhetene å eie?
    Neste artikkel
    Hva er trinnene for å finne en offentlig IP-adresse på en datamaskin?
    Forrige artikkel
    Hva er Photoshop Express, Fix, Mix og Sketch Mobile Apps?