Koje su sigurnosne implikacije ako je lozinka poslana u polje za korisničko ime?
Pretpostavimo da imate loš dan i požurite se prijaviti na omiljeno web-mjesto, a zatim slučajno poslati svoju zaporku u tekstni okvir za korisničko ime. Ako ste zabrinuti i promijenite zaporku za tu web-lokaciju, ili je to samo neosnovan strah?
Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.
Pitanje
Čitač agenta SuperUser želi znati koje su opasnosti od upisivanja lozinke u okvir za unos korisničkog imena i slučajno slanje:
Recimo da sam upisao zaporku u tekstni okvir za korisničko ime često posjećene web-lokacije (https naravno) i pritisnite Enter prije nego što sam primijetio što radim.
Je li moja lozinka sada u običnom tekstu u datoteci zapisnika negdje? Kako bi moju pogrešku mogla iskoristiti lukav zlikovac? Pomozite mi razumjeti stvarne sigurnosne implikacije bez obzira na vjerojatnost da se to zapravo dogodi.
Bi li to zapravo bilo nešto oko čega bi se trebalo brinuti, ili biste to mogli promatrati kao jednostavnu pogrešku i zaboraviti na nju?
Odgovor
Suradnici superkorisnika Nikolay i GregD imaju odgovor za nas. Prvo gore, Nikolay:
To ovisi o konfiguraciji sustava provjere autentičnosti za web-mjesto. Ako je postavljeno da se bilježe svi pokušaji, onda da, sada je u dnevniku (tekstualnu datoteku ili bazu podataka) u običnom tekstu. Može izgledati ovako:
12-Feb-2014 12:00:00 AM: Neuspješan pokušaj prijave korisnika (YOUR_PASSSORD_HERE) iz (YOUR_IP_HERE);
ili slično.
Još uvijek je točno da lozinka neće biti dostupna redovnim korisnicima, samo onima koji imaju pristup zapisničkim datotekama.
Kakve posljedice to implicira?
- Ako je poslužitelj ikada bio ugrožen, teoretski, haker bi imao vašu lozinku za običan tekst.
- Administrator web-lokacije može rutinski pregledavati datoteke dnevnika i slučajno pronaći vašu lozinku. Zatim može pronaći IP adresu iz koje je došao ovaj zapis, te tako teoretski može saznati što su vaše korisničko ime i e-pošta (jer ima pristup bazi podataka).
Dakle, ako koristite istu e-poštu / korisničko ime / lozinku na drugim web-lokacijama, odmah je promijenite. Jer uvijek postoji šansa da će vaša lozinka biti otkrivena. Zapisi mogu ostati na poslužiteljima godinama.
Slijedi odgovor od GregD-a:
Baš kao što ste rekli, web-aplikacije zadržavaju dnevnike neuspješnih pokušaja prijave. Ako bi netko pregledao zapisnike, mogao bi povezati ovaj pokušaj prijave s jednim od vaših uspješnih pokušaja (tj. putem IP adrese).
Iako mislim da se to vjerojatno neće dogoditi, uvijek ga možete promijeniti.
S konstantnim baražom kršenja podataka čitamo i čujemo o ovim danima, bilo bi bolje promijeniti zaporku za dotičnu web-lokaciju (i sve ostale s istom zaporkom) za mir. Bolje je biti siguran nego žao kada je u pitanju sigurnost vaših online računa!
Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.