Hemsida » hur » Vad är säkerhetsimplikationerna om ett lösenord skickas in i användarnamnet?

    Vad är säkerhetsimplikationerna om ett lösenord skickas in i användarnamnet?

    Antag att du har en dålig dag och bråttom för att logga in på en favoritwebbplats, och lägg då in ditt lösenord i användarnamnet. Skulle du vara orolig och ändra ditt lösenord för den webbplatsen, eller är det bara grundlös rädsla?

    Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

    Frågan

    SuperUser-läsaren agentnega vill veta vad farorna med att skriva ett lösenord i användarnamnet textrutan och oavsiktligt skicka in det kan vara:

    Låt oss säga att jag har skrivit mitt lösenord i användarnamnens textruta på en ofta besökta webbplats (https förstås) och slå in innan jag märkte vad jag gjorde.

    Är mitt lösenord nu sitter i vanlig text i en loggfil någonstans? Hur kunde mitt misstag utnyttjas av en häftig miscreant? Hjälp mig att förstå de faktiska säkerhetsimplikationerna oavsett sannolikheten för att det verkligen händer.

    Skulle det verkligen vara något att oroa sig för, eller kan du titta på det som ett enkelt misstag och glömma det?

    Svaret

    SuperUser-bidragsgivare Nikolay och GregD har svaret för oss. Först upp, Nikolay:

    Det beror på konfigurationen av autentiseringssystemet för webbplatsen. Om det var setup för att logga några försök, ja, det är nu i loggen (textfil eller databas) i vanlig text. Det kan se ut så här:

    12-feb-2014 12:00:00: misslyckad inloggningsförsök användare (YOUR_PASSSORD_HERE) från (YOUR_IP_HERE);

    eller liknande.

    Det är fortfarande sant att ett lösenord inte kommer att vara tillgängligt för vanliga användare, bara för dem som har tillgång till loggfiler.

    Vilka konsekvenser innebär det?

    • Om servern någonsin äventyras, så hade hackaren teoretiskt ha ditt vanliga textlösenord.
    • Webbplatsens administratör kan rutinmässigt gå igenom loggfilerna och hitta ditt lösenord av misstag. Han kan då hitta den IP-adress den här posten kom ifrån och sålunda kan han teoretiskt få reda på vad ditt användarnamn och e-post är (eftersom han har tillgång till databasen).

    Så om du använder samma e-postadress / användarnamn / lösenord på andra webbplatser, ändra sedan omedelbart. Eftersom det alltid finns en chans att ditt lösenord kommer att hittas. Loggar kan förbli på servrar i flera år.

    Följd av svaret från GregD:

    Precis som du sa, brukar webbapplikationer hålla loggar av misslyckade inloggningsförsök. Om någon skulle titta igenom loggarna kunde han ansluta det här inloggningsförsöket med en av dina framgångsrika försök (d.v.s. via IP-adress).

    Även om jag inte tror att det här kommer troligen att hända, kan du alltid ändra det.

    Med det ständiga spärrandet av dataöverträdelser vi läser och hör om dessa dagar skulle det vara bättre att ändra lösenordet för den aktuella webbplatsen (och alla andra med samma lösenord) för sinnesfrid. Det är bättre att vara säker än förlåt när det gäller säkerheten för dina onlinekonton!


    Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.