Начална » как да » Какви са последиците за сигурността, ако е въведена парола в полето за потребителско име?

    Какви са последиците за сигурността, ако е въведена парола в полето за потребителско име?

    Да предположим, че имате лош ден и бързате да влезете в любим уебсайт, след което случайно изпратите паролата си в текстовото поле за потребителско име. Ако се притеснявате и променяте паролата си за този уебсайт, или това е просто неоснователен страх?

    Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

    Въпроса

    Средният четец на агенти иска да знае какви са опасностите от въвеждането на паролата в текстовото поле за потребителско име и случайно подаване на това може да бъде:

    Да речем, че въведох паролата си в текстовото поле на потребителското име на често посещавания уебсайт (https разбира се) и натиснете Enter преди да съм забелязал какво правя.

    Паролата ми сега се намира в обикновен текст в лог файл някъде? Как мога грешката ми да бъде използвана от хитър злоупотребител? Помогнете ми да разбера действителните последици за сигурността, независимо от вероятността действително да се случи.

    Дали това всъщност е нещо, за което да се притесняваме, или може да погледнете на това като на проста грешка и да забравите за това?

    Отговорът

    Сътрудниците на SuperUser Николай и ГрегД имат отговор за нас. Първо, Николай:

    Това зависи от конфигурацията на системата за удостоверяване на уебсайта. Ако е настроено да регистрирате всички опити, тогава да, сега е в дневника (текстов файл или база данни) в обикновен текст. Може да изглежда така:

    12-Feb-2014 12:00:00 AM: Неуспешен опит за влизане в системата (YOUR_PASSSORD_HERE) от (YOUR_IP_HERE);

    или подобен.

    Все още е вярно, че паролата няма да бъде достъпна за обикновените потребители, само за тези, които имат достъп до регистрационните файлове.

    Какви са последствията от това?

    • Ако сървърът някога е бил компрометиран, то теоретично, хакерът ще има парола за обикновен текст.
    • Администраторът на уебсайта може редовно да минава през лог файловете и случайно да намери паролата ви. След това той може да намери IP адреса от този запис и по този начин той теоретично може да разбере какво е вашето потребителско име и имейл (защото има достъп до базата данни)..

    Така че, ако използвате същия имейл / потребителско име / парола на други уебсайтове, променете го веднага. Защото винаги има вероятност паролата ви да бъде открита. Дневникът може да остане на сървърите от години.

    Следван от отговора на GregD:

    Както казахте, уеб приложенията поддържат дневници за неуспешни опити за влизане. Ако някой погледне регистрите, той може да свърже този опит за влизане с един от успешните ви опити (т.е. чрез IP адрес).

    Въпреки, че не мисля, че това може да се случи, винаги можете да го промените.

    С постоянния шум от нарушения на данните, четем и чуваме за тези дни, по-добре е да смените паролата за въпросния уебсайт (и всички останали със същата парола) за спокойствие. По-добре е да сте в безопасност, отколкото да съжалявате за сигурността на вашите онлайн сметки!


    Имате ли какво да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.