Kokie yra saugumo padariniai, jei slaptažodis pateikiamas vartotojo lauke?

Video: Kokie yra saugumo padariniai, jei slaptažodis pateikiamas vartotojo lauke?

Video: Coros Apex 2 / 2 Pro Navigation mit Abbiegehinweise im Test - YouTube 2024, Gegužė

2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:53

Tarkime, kad blogai dieną ir skubėdami prisijungti prie mėgstamos svetainės, tuomet netyčia pateikite savo slaptažodį vartotojo vardo teksto laukelyje. Ar turėtumėte nerimauti ir pakeisti savo tinklalapio slaptažodį, ar tai tiesiog nepagrįsta baimė?

Šiandieninė klausimų ir atsakymų sesija pateikiama su "SuperUser" - "Stack Exchange", bendruomenės valdoma Q & A grupių asociacija.

Klausimas

"SuperUser" skaitytojo agentėga nori sužinoti, kokius pavojus įvesti savo slaptažodį į vartotojo vardo laukelį ir netyčia jį pateikti gali būti:


Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.
Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implications regardless of the likelihood of it actually happening.

Ar tai iš tikrųjų būtų kažkas nerimauti, ar galėtumėte tai suprasti kaip paprastą klaidą ir pamiršti apie tai?

Atsakymas

"SuperUser" autoriai Nikolajus ir GregD atsakė už mus. Pirmiausia, Nikolajus:


It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:







12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);
or similar.
It is still true that a password will not be accessible for regular users, only for those who have access to log files.
What consequences does it imply?

If the server was ever compromised, then theoretically, the hacker would have your plain text password.
The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).

So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.

Vykdydamas GregD atsakymą:


Just as you said, web applications tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).







Though I do not think this is likely to happen, you can always change it be sure.

Esant nuolatiniam duomenų pažeidimams, kuriuos mes skaitome ir girdėjome apie šias dienas, būtų geriau pakeisti atitinkamo tinklalapio slaptažodį (ir visi kiti su tuo pačiu slaptažodžiu) ramybei. Geriau, kai kalbama apie jūsų internetinių sąskaitų saugumą, saugiau nei atsiprašau!

Ar turite ką nors įtraukti į paaiškinimą? Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų? Patikrinkite visą diskusijų temą čia.

Rekomenduojamas:

Kokie yra "ActiveX" valdikliai ir kodėl jie yra pavojingi

"ActiveX" valdikliai yra "Internet Explorer" versija papildinių. Pavyzdžiui, "Internet Explorer" "Flash" grotuvas yra "ActiveX" valdiklis. Deja, "ActiveX" valdikliai buvo svarbus saugumo problemų šaltinis.

Kaip apsaugoti savo Twitter sąskaitą (net jei jūsų slaptažodis yra pavogtas)

Apskaitos saugumas yra svarbus ne tik apsipirkimo internetu ir banko sąskaitose, bet ir jūsų socialinių sąskaitų. Žala, kurią žmogus gali padaryti savo asmeniniam ir profesiniam gyvenimui, gali būti niokojanti. Kaip ir bet kuri kita svarbi paskyra, turite imtis tinkamų atsargumo priemonių, kad įsitikintumėte, jog esate vienintelis asmuo, turintis prieigą.