Pagrindinis » kaip » Kokie yra saugumo padariniai, jei slaptažodis pateikiamas naudotojo lauke?

    Kokie yra saugumo padariniai, jei slaptažodis pateikiamas naudotojo lauke?

    Tarkime, kad turite blogą dieną ir skubate prisijungti prie mėgstamos svetainės, tada atsitiktinai pateikite savo slaptažodį naudotojo vardo laukelyje. Jei nerimaujate ir pakeisite savo svetainės slaptažodį, ar tai yra tiesiog nepagrįsta baimė?

    Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

    Klausimas

    „SuperUser“ skaitytojas agentnega nori sužinoti, kokie pavojai įvesdami savo slaptažodį į naudotojo teksto laukelį ir atsitiktinai pateikdami jį gali būti:

    Tarkime, įvedžiau savo slaptažodį į dažnai lankomos svetainės naudotojo teksto laukelį (Žinoma, https) ir paspauskite Enter, kol aš pastebėjau, ką darau.

    Ar dabar mano slaptažodis yra paprastas tekstas žurnalo faile? Kaip galėčiau išnaudoti mano klaidą gudrus netinkamas? Padėkite suprasti faktinius saugumo padarinius, nepriklausomai nuo tikimybės, kad ji iš tikrųjų vyksta.

    Ar tai iš tikrųjų būtų kažkas, kas nerimautų, ar galėtumėte tai pažvelgti kaip paprastą klaidą ir pamiršti apie tai?

    Atsakymas

    „SuperUser“ dalyviai „Nikolay“ ir „GregD“ turi atsakymą. Pirma, Nikolajus:

    Tai priklauso nuo svetainės autentifikavimo sistemos konfigūracijos. Jei buvo nustatyta, kad būtų užregistruoti visi bandymai, tada taip, tai dabar yra žurnale (teksto failą ar duomenų bazę) paprastu tekstu. Tai gali atrodyti taip:

    2014 m. Vasario 12 d. 12:00:00 AM: nesėkmingas prisijungimo bandymas (YOUR_PASSSORD_HERE) iš (YOUR_IP_HERE);

    ar panašūs.

    Tiesa, kad slaptažodis nebus prieinamas įprastiems vartotojams, tik tiems, kurie turi prieigą prie žurnalo failų.

    Kokios pasekmės tai reiškia?

    • Jei serveris kada nors buvo pažeistas, tada teoriškai įsilaužėlis turės jūsų paprasto teksto slaptažodį.
    • Svetainės administratorius gali reguliariai eiti per žurnalo failus ir netyčia surasti jūsų slaptažodį. Tada jis gali rasti IP adresą, iš kurio buvo gautas įrašas, todėl jis teoriškai gali išsiaiškinti, kas yra jūsų vartotojo vardas ir el. Paštas (nes jis turi prieigą prie duomenų bazės).

    Taigi, jei naudojate tą patį el. Paštą / naudotojo vardą / slaptažodį kitose svetainėse, nedelsdami pakeiskite jį. Kadangi visada yra tikimybė, kad jūsų slaptažodis bus išsiaiškintas. Žurnalai metų metus gali likti serveriuose.

    Po GregD atsakymo:

    Kaip jau minėjote, žiniatinklio taikomosios programos linkusios išlaikyti nesėkmingų prisijungimo bandymų žurnalus. Jei kas nors peržiūrėtų žurnalus, jis galėjo prisijungti prie konkretaus prisijungimo bandymo su vienu iš sėkmingų bandymų (t.y. per IP adresą).

    Nors nemanau, kad tai gali įvykti, visada galite jį pakeisti.

    Nuolat uždarius duomenų pažeidimus, kuriuos mes skaitome ir girdime apie šias dienas, geriau pakeisti atitinkamos svetainės slaptažodį (ir visi kiti, turintys tą patį slaptažodį) dėl ramybės. Geriau būti saugiu, nei gaila, kai kalbama apie savo internetinių sąskaitų saugumą!


    Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.