מהן השלכות האבטחה אם סיסמה מוגשת בשדה שם המשתמש?
נניח שאתה נתקל יום רע ובמהירות להיכנס לאתר מועדף, ואז בטעות לשלוח את הסיסמה שלך בתיבת הטקסט שם המשתמש במקום. אתה צריך להיות מודאג ולשנות את הסיסמה עבור אתר זה, או שזה רק פחד ללא יסוד?
מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ מונחה על ידי הקהילה של אתרי אינטרנט של Q & A.
השאלה
SuperUser הקורא agentnega רוצה לדעת מה הסכנות של הקלדת הסיסמה של אחד לתוך שם המשתמש תיבת טקסט בטעות הגשת זה יכול להיות:
נניח שהקלדתי את הסיסמה בתיבת הטקסט של שם המשתמש של אתר שביקר לעתים קרובות (https כמובן) ופגעתי לפני שהבחנתי במה שאני עושה.
האם הסיסמה שלי יושבת כעת בטקסט רגיל בקובץ יומן במקום כלשהו? כיצד ניתן לנצל את הטעות שלי על ידי שקרן ערמומי? עזור לי להבין את ההשלכות הביטחוניות בפועל, ללא קשר לסבירות שזה יקרה.
האם זה באמת להיות משהו להיות מודאג, או שאתה יכול להסתכל על זה כמו טעות פשוטה ולשכוח את זה?
התשובה
תורמים SuperUser ניקולאי וגרגד יש את התשובה עבורנו. ראשית, ניקולאי:
זה תלוי בתצורה של מערכת האימות של האתר. אם זה היה ההתקנה כדי להיכנס כל הניסיונות, אז כן, זה עכשיו ביומן (קובץ טקסט או מסד נתונים) בטקסט רגיל. זה יכול להיראות כך:
12-Feb-2014 12:00:00 AM: משתמש ניסיוני התחברות נכשל (YOUR_PASSSORD_HERE) מ- (YOUR_IP_HERE);
או דומה.
זה עדיין נכון כי הסיסמה לא תהיה נגישה עבור משתמשים רגילים, רק עבור אלה שיש להם גישה לקבצי יומן.
מה ההשלכות זה אומר?
- אם השרת היה פעם בסכנה, אז באופן תיאורטי, האקר תהיה הסיסמה שלך פשוט טקסט.
- מנהל האתר יכול באופן שגרתי לעבור את קבצי היומן ולמצוא בטעות את הסיסמה שלך. לאחר מכן הוא יכול למצוא את כתובת ה- IP של הרשומה הזו, ולכן הוא יכול תיאורטית לגלות מה שם המשתמש שלך ואת הדואר האלקטרוני הם (כי יש לו גישה למסד הנתונים).
אז, אם אתה משתמש באותו דואר אלקטרוני / שם משתמש / סיסמה באתרים אחרים, ואז לשנות את זה מיד. כי תמיד יש סיכוי שהסיסמה שלך תימצא. יומנים יכולים להישאר בשרתים במשך שנים.
ואחריו התשובה מ GregD:
בדיוק כפי שאמרת, יישומי אינטרנט נוטים לשמור על יומני ניסיונות כניסה לא מוצלחים. אם מישהו היה מסתכל דרך יומני, הוא יכול להתחבר זה ניסיון כניסה מסוים עם אחד הניסיונות שלך מוצלח (כלומר באמצעות כתובת IP).
למרות שאני לא חושב שזה צפוי לקרות, אתה תמיד יכול לשנות את זה כדי להיות בטוח.
עם מטח מתמיד של נתונים הפרות אנו קוראים ושומעים על ימים אלה, זה יהיה טוב יותר כדי לשנות את הסיסמה עבור האתר המדובר (וכל האחרים עם אותה סיסמה) לשקט נפשי. עדיף להיות בטוח מאשר מצטער כשמדובר האבטחה של החשבונות המקוונים שלך!
יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.