Ý nghĩa bảo mật của việc gửi mật khẩu trong trường tên người dùng là gì?

19

Giả sử tôi đã nhập mật khẩu của mình vào hộp văn bản tên người dùng của một trang web thường xuyên truy cập (dĩ nhiên là https) và nhấn enter trước khi tôi nhận thấy những gì tôi đang làm.

Có phải mật khẩu của tôi đang ngồi trong bản rõ trong một tệp nhật ký ở đâu đó không? Làm thế nào sai lầm của tôi có thể bị khai thác bởi một hành vi sai trái xảo quyệt? Giúp tôi hiểu ý nghĩa bảo mật thực tế bất kể khả năng nó thực sự xảy ra.

security  passwords 
đặc vụ
nguồn
4
Tôi không hiểu tại sao câu hỏi này được gắn cờ là "dựa trên quan điểm". Nó hỏi rõ ràng "ý nghĩa bảo mật" có thể là gì (và được đưa ra ít nhất là câu trả lời được chấp nhận) được sao lưu bởi các sự kiện.
Calimo
Đây là chủ đề về security.stackexchange.com
kinokijuf
@kinokijuf: Tuy nhiên, chắc chắn tôi đã xem xét điều đó trước tiên Information Security Stack Exchange is a question and answer site for Information security professionals. Tôi không phải là một, và tôi không nghĩ chúng ta cần một người để trả lời câu hỏi này. Tôi đã phạm một lỗi mà bất kỳ người dùng nào cũng có thể mắc phải và tôi nghĩ rằng câu trả lời là thú vị đối với người dùng, không phải các chuyên gia bảo mật. Tuy nhiên tôi chắc chắn có thể sai.
đặc vụ
Bạn nói đúng, nó đã bị đóng là "quá rộng"
ngẫu nhiên

Câu trả lời:

18

Nó phụ thuộc vào cấu hình của hệ thống xác thực của trang web. Nếu nó được thiết lập để ghi lại bất kỳ nỗ lực nào - hơn là có, thì bây giờ nó đã ở trong nhật ký (tệp văn bản hoặc cơ sở dữ liệu) bằng văn bản thuần túy. Nó có thể trông như thế:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

hoặc tương tự.

Vẫn đúng là mật khẩu sẽ không thể truy cập được đối với người dùng thông thường. Chỉ dành cho những người có quyền truy cập vào tệp nhật ký.

Hậu quả của nó là gì?

  • Nếu máy chủ sẽ bị xâm phạm - về mặt lý thuyết, hacker sẽ có mật khẩu văn bản đơn giản của bạn.
  • Quản trị viên của trang có thể thường xuyên truy cập các tệp nhật ký và vô tình tìm thấy mật khẩu của bạn. Anh ta có thể tìm thấy địa chỉ IP mà bản ghi này đến từ đâu và do đó về mặt lý thuyết anh ta có thể tìm thấy tên người dùng và e-mail của bạn là gì (vì anh ta có quyền truy cập vào cơ sở dữ liệu).

Vì vậy, nếu bạn có cùng email / tên người dùng / mật khẩu trên các tài nguyên khác - thay đổi ngay lập tức. Bởi vì có nhiều khả năng mật khẩu của bạn sẽ được tìm thấy. Nhật ký có thể vẫn còn trên máy chủ trong nhiều năm.

VL-80
nguồn
8
Có thể có một hồ sơ địa phương về nỗ lực của bạn là tốt. Nhiều trình duyệt (hầu hết?) Có tính năng Tự động điền được bật theo mặc định và lưu một số mục nhập mẫu nhất định - tên người dùng, địa chỉ email, số điện thoại, v.v. - để thuận tiện cho bạn. Nếu bạn mở lại trang đăng nhập, nhấp vào trường tên người dùng và nhấn phím mũi tên xuống, bạn có thể thấy mật khẩu của mình được liệt kê cùng với tên người dùng. Bạn có thể xóa nó khỏi danh sách, tuy nhiên, để an toàn tuyệt đối, tốt nhất nên thay đổi mật khẩu của bạn như được đề xuất ở trên.
gm2
5

Như bạn đã nói, webaplications có xu hướng giữ các bản ghi của các lần đăng nhập không thành công. Nếu ai đó sẽ xem qua nhật ký, anh ta có thể kết nối lần đăng nhập cụ thể này với lần thử thành công khác của bạn (tức là thông qua địa chỉ IP).

Mặc dù tôi không nghĩ rằng điều này có khả năng xảy ra, nhưng bạn luôn có thể thay đổi nó một cách chắc chắn.

dominiczaq
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.