Kakšne so varnostne posledice, če je geslo poslano v polje z uporabniškim imenom?
Recimo, da imate slab dan in se mudi, da se prijavite na priljubljeno spletno mesto, nato pa po naključju pošljete svoje geslo v besedilno polje za uporabniško ime. Če ste zaskrbljeni in spremenite svoje geslo za to spletno mesto, ali je to samo neutemeljen strah?
Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.
Vprašanje
Čitalnik SuperUser agentnega želi vedeti, kakšne so nevarnosti vnosa gesla v besedilno polje za uporabniško ime in ga po nesreči predložil:
Recimo, da sem vpisal geslo v besedilno polje za uporabniško ime na pogosto obiskanem spletnem mestu (https seveda) in pritisnite Enter, preden sem opazil, kaj počnem.
Ali je moje geslo nekje v golem besedilu v dnevniški datoteki? Kako bi mojo napako lahko izkoristil zviti zmagovalec? Pomagajte mi razumeti dejanske varnostne posledice, ne glede na verjetnost, da se to dejansko zgodi.
Ali bi bilo to dejansko nekaj, kar bi vas moralo skrbeti, ali pa bi to videli kot preprosto napako in jo pozabili?
Odgovor
Sodelujoči sodelavci Nikolay in GregD imata odgovor za nas. Najprej, Nikolay:
To je odvisno od konfiguracije sistema za preverjanje pristnosti za spletno mesto. Če je bila nastavljena za prijavo vseh poskusov, potem je to v dnevniku (besedilno datoteko ali bazo podatkov) v golem besedilu. Lahko bi izgledal takole:
12-Feb-2014 12:00:00: Neuspešen poskus prijave uporabnika (YOUR_PASSSORD_HERE) iz (YOUR_IP_HERE);
ali podobno.
Še vedno je res, da geslo ne bo dostopno za običajne uporabnike, samo za tiste, ki imajo dostop do dnevnikov.
Kakšne posledice to pomeni?
- Če je bil strežnik kdaj ogrožen, bi teoretično heker imel vaše geslo za golo besedilo.
- Skrbnik spletnega mesta bi lahko redno pregledoval datoteke dnevnika in po nesreči našel vaše geslo. Nato lahko najde IP naslov, iz katerega je prišel ta zapis, in tako lahko teoretično ugotovi, kaj je vaše uporabniško ime in e-pošta (ker ima dostop do baze podatkov).
Torej, če uporabljate isto e-pošto / uporabniško ime / geslo na drugih spletnih mestih, ga takoj spremenite. Ker vedno obstaja možnost, da bo vaše geslo odkrito. Dnevniki lahko ostanejo na strežnikih že več let.
Sledi odgovor GregD:
Tako kot ste rekli, spletne aplikacije ponavadi vodijo dnevnike neuspešnih poskusov prijave. Če bi nekdo pregledal dnevnike, bi lahko povezal ta poskus prijave z enim od vaših uspešnih poskusov (npr. prek naslova IP).
Čeprav mislim, da se to verjetno ne bo zgodilo, ga lahko vedno spremenite.
S stalnim pretresom podatkov, ki jih beremo in slišimo o teh dneh, bi bilo bolje spremeniti geslo za zadevno spletno mesto (in vsi drugi z enakim geslom) za duševni mir. Bolje je biti varen kot žal, ko gre za varnost vaših spletnih računov!
Imate kaj dodati pojasnilu? Zvok v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.