Laman » bagaimana untuk » Apakah Implikasi Keselamatan jika Kata Laluan Dihantar dalam Bidang Nama Pengguna?

    Apakah Implikasi Keselamatan jika Kata Laluan Dihantar dalam Bidang Nama Pengguna?

    Katakan anda sedang mengalami hari yang buruk dan terburu-buru untuk log masuk ke laman web kegemaran, maka secara tidak sengaja serahkan kata laluan anda dalam kotak teks nama pengguna sebaliknya. Sekiranya anda bimbang dan menukar kata laluan anda untuk laman web itu, atau adakah ia hanya ketakutan yang tidak berasas?

    Sesi Soalan & Jawapan hari ini datang kepada kami dengan ihsan SuperUser-bahagian pembahagian Stack Exchange, kumpulan yang diketuai oleh komuniti laman web Q & A.

    Soalan

    Pembaca SuperUser agentnega ingin tahu apa bahaya menaip kata laluan seseorang ke dalam kotak teks nama pengguna dan secara tidak sengaja menyerahkannya boleh:

    Katakan saya menaip kata laluan saya ke dalam kotak teks nama pengguna laman web yang sering dikunjungi (https sudah tentu) dan tekan enter sebelum saya melihat apa yang saya lakukan.

    Adakah kata laluan saya sekarang duduk dalam teks kosong dalam fail log di suatu tempat? Bagaimanakah kesilapan saya dapat dieksploitasi oleh seorang penyamar yang licik? Bantu saya memahami implikasi keselamatan sebenar tanpa mengira kemungkinannya berlaku.

    Adakah ini sebenarnya sesuatu yang perlu dibimbangkan, atau bolehkah anda melihat ini sebagai kesilapan yang mudah dan melupakannya?

    Jawapan

    Penyumbang SuperUser Nikolay dan GregD mempunyai jawapan untuk kami. Pertama, Nikolay:

    Ia bergantung pada konfigurasi sistem pengesahan untuk laman web. Jika ia siap untuk log apa-apa percubaan, maka ya, ia kini dalam log (fail teks atau pangkalan data) dalam teks biasa. Ia boleh kelihatan seperti ini:

    12-Feb-2014 12:00:00 AM: Pengguna percubaan masuk yang tidak berjaya (YOUR_PASSSORD_HERE) dari (YOUR_IP_HERE);

    atau sama.

    Ia masih benar bahawa kata laluan tidak boleh diakses untuk pengguna biasa, hanya untuk mereka yang mempunyai akses kepada fail log.

    Apa kesannya?

    • Sekiranya pelayan itu pernah dikompromi, maka secara teorinya, penggodam akan mempunyai kata laluan teks biasa anda.
    • Pentadbir laman web secara rutin boleh melalui fail log dan secara tidak sengaja mencari kata laluan anda. Dia kemudian boleh mencari alamat IP rekod ini datang, dan dengan itu dia secara teorinya dapat mengetahui nama pengguna dan e-mel anda (kerana dia mempunyai akses kepada pangkalan data).

    Jadi, jika anda menggunakan e-mel / nama pengguna / kata laluan yang sama di laman web yang lain, maka tukar dengan segera. Kerana selalu ada peluang kata laluan anda untuk dijumpai. Log boleh kekal di pelayan selama bertahun-tahun.

    Diikuti oleh jawapan dari GregD:

    Sama seperti yang anda katakan, aplikasi web cenderung menyimpan log log masuk yang tidak berjaya. Sekiranya seseorang melihat log, dia boleh menyambung percubaan masuk khas ini dengan salah satu percubaan yang berjaya anda (iaitu melalui alamat IP).

    Walaupun saya tidak fikir ini mungkin berlaku, anda sentiasa boleh mengubahnya menjadi pasti.

    Dengan pelanggaran data berterusan yang kita baca dan dengar mengenai hari-hari ini, lebih baik untuk menukar kata laluan untuk laman web yang dipersoalkan (dan mana-mana orang lain dengan kata laluan yang sama) untuk ketenangan fikiran. Adalah lebih baik untuk menjadi selamat daripada menyesal ketika datang kepada keselamatan akaun dalam talian anda!


    Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.