Pretpostavimo da imate loš dan i poželite se prijaviti na omiljenu web-lokaciju, a zatim slučajno pošaljite svoju lozinku u tekstni okvir korisničkog imena. Ako se brinete i promijenite svoju lozinku za tu web stranicu ili je to samo neosnovani strah?
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
SuperUser čitač agentnega želi znati koje su opasnosti upisivanja lozinke u tekstni okvir korisničkog imena i slučajno ga poslali:
Pretpostavimo da sam upisala svoju lozinku u tekstni okvir korisničkog imena često posjećene web stranice (https naravno) i pritisnete Enter prije no što sam primijetio što radim.
Je li moja lozinka sada sjedila u običnom tekstu u zapisničkoj datoteci negdje? Kako bi mogla iskoristiti moju pogrešku od lukavog lažljivca? Pomognite mi razumjeti stvarne sigurnosne implikacije, bez obzira na vjerojatnost da se to zapravo događa.
Biste li to zapravo trebali biti zabrinuti ili biste to mogli pogledati kao jednostavnu pogrešku i zaboraviti na to?
Nikolaja i GregD imaju SuperUserov doprinos za nas. Prvo, Nikolaj:
Ovisi o konfiguraciji sustava provjere autentičnosti za web stranicu. Ako je bilo postavljeno za prijavu bilo kakvih pokušaja, onda da, sada je u zapisniku (tekstualnu datoteku ili bazu podataka) u običnom tekstu. Moglo bi izgledati ovako:
12. veljače 2014. 12:00:00: Neuspješni korisnik pokušaja prijave (YOUR_PASSSORD_HERE) od (YOUR_IP_HERE);
ili slično.
I dalje je istina da lozinka neće biti dostupna za redovite korisnike, samo za one koji imaju pristup datotekama zapisnika.
Koje posljedice to podrazumijeva?
- Ako je poslužitelj ikada bio ugrožen, teoretski, haker će imati vašu zaporku za običan tekst.
- Administrator web mjesta mogao bi rutinski proći kroz dnevničke datoteke i slučajno pronaći zaporku. On tada može pronaći IP adresu koju je ovaj zapis došao i tako teoretski može saznati što su vaše korisničko ime i e-pošta (jer ima pristup bazi podataka).
Dakle, ako upotrebljavate isti e-mail / korisničko ime / zaporku na drugim web-lokacijama, odmah je promijenite. Budući da uvijek postoji vjerojatnost da će se zaporka saznati. Dnevnici mogu ostati na poslužiteljima godinama.
Slijedi odgovor GregD:
Kao što ste rekli, web aplikacije imaju tendenciju da zadrže zapisnike o neuspjelim pokušajima prijave. Ako bi netko pogledao kroz zapisnike, mogao bi povezati ovaj pokušaj prijave s jednim od vaših uspješnih pokušaja (tj. preko IP adrese).
Iako ne mislim da će se to vjerojatno dogoditi, uvijek ga možete promijeniti, budite sigurni.
Sa stalnim baražama o kršenjima podataka koje čitamo i čujemo o ovim danima, bilo bi bolje promijeniti lozinku za dotičnu web stranicu (i svi drugi s istom lozinkom) za mir uma. Bolje je biti siguran nego žao zbog sigurnosti vaših online računa!
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.