Које су сигурносне импликације ако је лозинка послата у поље за корисничко име?
Претпоставимо да имате лош дан и да се пожурите да се пријавите на омиљени сајт, а онда случајно пошаљете своју лозинку у текстуални оквир за корисничко име. Ако сте забринути и промијените лозинку за ту веб страницу, или је то само неоснован страх?
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подјела Стацк Екцханге-а, груписане од стране заједнице веб-локација за питања и одговоре.
Питање
СуперУсер читач агентнега жели да сазна које су опасности од уноса лозинке у оквир за унос корисничког имена и случајно слање:
Рецимо да сам откуцао своју лозинку у текстуални оквир за корисничко име на често посећеном веб сајту (хттпс наравно) и притисните Ентер пре него што сам приметио шта радим.
Да ли се моја лозинка сада налази у обичном тексту у датотеци дневника? Како би моју грешку могао искористити лукав криминалац? Помозите ми да схватим стварне безбедносне импликације без обзира на вероватноћу да се то заиста деси.
Да ли би то било нешто око чега би се требало бринути, или бисте то могли гледати као једноставну грешку и заборавити на њу?
Одговор
Сурадници СуперУсер-а Николаи и ГрегД имају одговор за нас. Прво горе, Николај:
То зависи од конфигурације система аутентикације за веб сајт. Ако је било подешено да се пријаве било какви покушаји, онда да, сада је у дневнику (текстуална датотека или база података) у обичном тексту. Може изгледати овако:
12-Феб-2014 12:00:00 АМ: Неуспешан покушај пријаве корисника (ИОУР_ПАСССОРД_ХЕРЕ) из (ИОУР_ИП_ХЕРЕ);
или слично.
И даље је тачно да лозинка неће бити доступна редовним корисницима, само за оне који имају приступ лог датотекама.
Какве посљедице то имплицира?
- Ако је сервер икада компромитован, онда теоретски, хакер би имао вашу обичну текстуалну лозинку.
- Администратор веб-локације може рутински прегледати датотеке дневника и случајно пронаћи вашу лозинку. Затим може пронаћи ИП адресу из које је дошао овај запис, те тако теоретски може сазнати које су ваше корисничко име и е-маил (јер има приступ бази података).
Дакле, ако користите исти е-маил / корисничко име / лозинку на другим сајтовима, одмах га промените. Јер увек постоји шанса да се ваша лозинка открије. Записи могу остати на серверима годинама.
Следи одговор од ГрегД-а:
Као што сте рекли, веб апликације имају тенденцију да воде евиденцију о неуспешним покушајима пријављивања. Ако би неко прегледао дневнике, могао би повезати овај покушај пријављивања са једним од ваших успјешних покушаја (тј. преко ИП адресе).
Иако не мислим да ће се то вероватно десити, увек можете да га промените.
Са сталним баражом кршења података читамо и чујемо о овим данима, било би боље да промијенимо лозинку за дотичну веб-локацију (и све друге са истом лозинком) за мир. Боље је бити сигуран него жао када је у питању сигурност ваших онлине рачуна!
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.