Domovská » jak » Jaké jsou bezpečnostní důsledky, pokud je v poli uživatelského jména zadáno heslo?

    Jaké jsou bezpečnostní důsledky, pokud je v poli uživatelského jména zadáno heslo?

    Předpokládejme, že máte špatný den a ve spěchu se přihlašujete na oblíbené webové stránky, pak náhodně odešlete heslo do textového pole uživatelského jména. Měli byste se obávat a změnit své heslo pro tyto webové stránky, nebo je to jen bezpředmětný strach?

    Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

    Otázka

    Čtenářka agentu SuperUser chce vědět, jaká je nebezpečí při psaní hesla do textového pole uživatelského jména a náhodným odesláním může být:

    Řekněme, že jsem zadal heslo do textového pole uživatelského jména často navštěvované webové stránky (https samozřejmě) a hit enter, než jsem si všiml, co dělám.

    Je moje heslo nyní sedět v prostém textu v souboru protokolu někde? Jak bych mohl zneužít mou chybu chytráka? Pomozte mi pochopit skutečné důsledky zabezpečení bez ohledu na pravděpodobnost, že se skutečně děje.

    Bylo by to vlastně něco, o čemu by se museli obávat, nebo byste se na to mohli podívat jako na jednoduchou chybu a zapomenout na to?

    Odpověď

    Sponzoři společnosti SuperUser Nikolay a GregD mají pro nás odpověď. První, Nikolay:

    Záleží na konfiguraci ověřovacího systému pro web. Pokud bylo nastaveno zaznamenávat všechny pokusy, pak ano, je nyní v protokolu (textový soubor nebo databáze) v prostém textu. Může to vypadat takto:

    12. února 2014 12:00:00: neúspěšný pokus o přihlášení uživatele (YOUR_PASSSORD_HERE) z (YOUR_IP_HERE);

    nebo podobné.

    Je stále pravda, že heslo nebude přístupné pro běžné uživatele, pouze pro ty, kteří mají přístup k souborům protokolu.

    Jaké důsledky to znamená?

    • Pokud byl server někdy kompromitován, teoreticky by měl hacker vaše heslo pro prostý text.
    • Správce webových stránek by mohl běžně procházet soubory protokolu a náhodně najít vaše heslo. Pak může najít adresu IP, z níž tento záznam pochází, a tak teoreticky zjistí, jaké je vaše uživatelské jméno a e-mail (protože má přístup k databázi).

    Pokud používáte stejné e-mailové / uživatelské jméno / heslo na jiných webech, okamžitě je změňte. Protože je vždy možné, že vaše heslo bude zjištěno. Záznamy mohou zůstat na serverech již léta.

    Následuje odpověď od GregD:

    Stejně jako jste řekli, webové aplikace mají tendenci zaznamenávat neúspěšné pokusy o přihlášení. Pokud by se někdo díval přes protokoly, mohl by tento konkrétní pokus o přihlášení provést jedním z vašich úspěšných pokusů (tj. prostřednictvím IP adresy)..

    Ačkoli si nemyslím, že by se to mohlo stát, můžete to vždycky změnit.

    S neustálým zabraňováním narušení dat, které o těchto dnech čteme a slyšíme, bylo by lepší změnit heslo pro danou webovou stránku (a všechny ostatní se stejným heslem) pro klid. Je lepší být v bezpečí, než je to líto, pokud jde o zabezpečení vašich online účtů!

    Musíte něco přidat k vysvětlení? Vyjměte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.

    Jaké jsou klávesy Sys Rq, Scroll Lock a Pause Break Key na klávesnici?
    Jaké jsou nástroje SysInternals a jak je používáte?
    Jaké jsou nejvýhodnější zařízení Smarthome vlastnit?
    Další článek
    Jaké jsou kroky k nalezení veřejné IP adresy počítače?
    Předchozí článek
    Jaké jsou aplikace pro mobily Photoshop Express, Fix, Mix a náčrt?