Які наслідки для безпеки, якщо пароль подано в полі Ім'я користувача?

Припустимо, у вас є поганий день і поспішаєте увійти до улюбленого веб-сайту, а потім випадково надішліть свій пароль до текстового поля ім'я користувача. Якщо ви турбуєтеся і змінюєте свій пароль для цього веб-сайту, або це просто безпідставний страх?

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Агентного читача SuperUser хоче знати, які небезпеки введення пароля в текстове поле ім'я користувача і випадково подати його:

Припустимо, що я ввів свій пароль у текстове поле імені користувача, який часто відвідується (https звичайно) і натисніть Enter, перш ніж я помітив, що я роблю.

Чи є мій пароль зараз у звичайному тексті в лог-файлі? Як мою помилку можна використати хитрим злочинцем? Допоможіть мені зрозуміти фактичні наслідки безпеки, незважаючи на ймовірність того, що це відбудеться.

Чи справді це може бути щось турбує, або ви можете поглянути на це як на просту помилку і забути про це?

Відповідь

Співробітники SuperUser Микола і ГрегД мають відповідь для нас. Спочатку, Микола:

Це залежить від конфігурації системи аутентифікації веб-сайту. Якщо було налаштовано реєстрацію будь-яких спроб, то так, це тепер у журналі (текстовий файл або базу даних) у простому тексті. Це може виглядати так:

12-Feb-2014 12:00:00: Невдала спроба входу користувача (YOUR_PASSSORD_HERE) з (YOUR_IP_HERE);

або подібні.

До цих пір вірно, що пароль не буде доступним для звичайних користувачів, тільки для тих, хто має доступ до файлів журналу.

Які наслідки це має на увазі?

• Якщо сервер коли-небудь був скомпрометований, то теоретично хакер мав би свій звичайний текстовий пароль.
• Адміністратор веб-сайту може регулярно переглядати файли журналів і випадково знайти пароль. Потім він може знайти IP-адресу, з якої прийшов цей запис, і таким чином він теоретично може дізнатися, що таке ваше ім'я користувача та електронна пошта (тому що він має доступ до бази даних).

Отже, якщо ви використовуєте ту саму електронну пошту / ім'я користувача / пароль на інших веб-сайтах, то негайно змініть його. Тому що завжди є шанс, що ваш пароль буде знайдено. Журнали можуть залишатися на серверах протягом багатьох років.

Далі йшла відповідь від GregD:

Як ви вже сказали, веб-додатки мають тенденцію зберігати журнали невдалих спроб входу. Якщо хтось переглядає журнали, він може підключитися до цієї спроби входу з однією з успішних спроб (тобто через IP-адресу).

Хоча я не думаю, що це може статися, ви завжди можете змінити його.

Завдяки постійному шквалу порушень даних ми читаємо і чуємо про ці дні, краще змінити пароль для відповідного веб-сайту (та будь-які інші з таким самим паролем) для душевного спокою. Краще бути безпечним, ніж шкодити, коли йдеться про безпеку ваших онлайн-облікових записів!

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.