สิ่งที่เกี่ยวข้องกับความปลอดภัยของการมีรหัสผ่านที่ส่งในฟิลด์ชื่อผู้ใช้คืออะไร?

สมมติว่าฉันพิมพ์รหัสผ่านของฉันลงในกล่องข้อความชื่อผู้ใช้ของเว็บไซต์ที่เข้าชมบ่อย (https แน่นอน) และกด Enter ก่อนที่ฉันจะสังเกตเห็นว่าฉันกำลังทำอะไรอยู่

รหัสผ่านของฉันตอนนี้นั่งอยู่ที่ธรรมดาในล็อกไฟล์ที่ไหนสักแห่ง? ความผิดพลาดของฉันจะถูกเอาเปรียบโดยฝีมือเจ้าเล่ห์ได้อย่างไร? ช่วยฉันเข้าใจความจริงของความปลอดภัยโดยไม่คำนึงถึงความเป็นไปได้ที่จะเกิดขึ้นจริง

security passwords

— agentnega
แหล่งที่มา

ฉันไม่เข้าใจว่าทำไมคำถามนี้จึงถูกตั้งค่าสถานะเป็น "อิงตามความคิดเห็น" มันชัดเจนถามว่า "อะไรคือผลกระทบด้านความปลอดภัย" ซึ่งสามารถ (และได้รับอย่างน้อยคำตอบที่ยอมรับ) สำรองโดยข้อเท็จจริง

— Calimo

นี่คือหัวข้อเกี่ยวกับsecurity.stackexchange.com

— kinokijuf

@kinokijuf: Information Security Stack Exchange is a question and answer site for Information security professionalsแน่นอนผมคิดว่าครั้งแรกอย่างไร ฉันไม่ใช่คนเดียวและฉันไม่คิดว่าเราจะต้องมีคนที่จะตอบคำถามนี้ ฉันทำผิดพลาดที่ผู้ใช้สามารถทำได้และฉันคิดว่าคำตอบนั้นน่าสนใจสำหรับผู้ใช้ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัย อย่างไรก็ตามฉันอาจจะผิดอย่างแน่นอน

— agentnega

คุณพูดถูกมันควรจะถูกปิดเป็น "กว้างเกินไป"

— สุ่ม

คำตอบ:

ขึ้นอยู่กับการกำหนดค่าของระบบรับรองความถูกต้องของเว็บไซต์ หากมีการตั้งค่าให้บันทึกความพยายาม - มากกว่าใช่ตอนนี้จะอยู่ในบันทึก (ไฟล์ข้อความหรือฐานข้อมูล) เป็นข้อความธรรมดา มันอาจมีลักษณะเช่นนั้น:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

หรือคล้ายกัน

ยังคงเป็นจริงที่รหัสผ่านจะไม่สามารถเข้าถึงได้สำหรับผู้ใช้ทั่วไป สำหรับผู้ที่มีสิทธิ์เข้าถึงไฟล์บันทึกเท่านั้น

ผลที่ตามมาคืออะไร?

หากเซิร์ฟเวอร์ถูกโจมตี - แฮ็กเกอร์ในทางทฤษฎีจะมีรหัสผ่านข้อความธรรมดาของคุณ
ผู้ดูแลระบบของไซต์สามารถเข้าสู่ไฟล์บันทึกเป็นประจำและค้นหารหัสผ่านของคุณโดยไม่ได้ตั้งใจ เขาสามารถค้นพบว่าที่อยู่ IP บันทึกนี้มาจากไหนและทำให้เขาสามารถค้นหาชื่อผู้ใช้และอีเมลของคุณได้ในทางทฤษฎี (เพราะเขาเข้าถึงฐานข้อมูลได้)

ดังนั้นหากคุณมีอีเมล / ชื่อผู้ใช้ / รหัสผ่านเดียวกันกับแหล่งข้อมูลอื่น - ให้เปลี่ยนทันที เพราะมีโอกาสที่รหัสผ่านของคุณจะถูกพบ บันทึกสามารถอยู่บนเซิร์ฟเวอร์เป็นเวลาหลายปี

— VL-80
แหล่งที่มา

อาจมีบันทึกในท้องถิ่นของความพยายามของคุณเช่นกัน เบราว์เซอร์ (ส่วนใหญ่?) จำนวนมากมีคุณสมบัติป้อนอัตโนมัติที่เปิดใช้งานโดยค่าเริ่มต้นและบันทึกรายการฟอร์มบางอย่าง - ชื่อผู้ใช้ที่อยู่อีเมลหมายเลขโทรศัพท์ ฯลฯ - เพื่อความสะดวกของคุณ หากคุณเปิดหน้าเข้าสู่ระบบอีกครั้งให้คลิกที่ฟิลด์ชื่อผู้ใช้และกดปุ่มลูกศรลงคุณอาจเห็นรหัสผ่านของคุณพร้อมกับชื่อผู้ใช้ อย่างไรก็ตามคุณสามารถลบได้จากรายการเพื่อความปลอดภัยอย่างยิ่งควรเปลี่ยนรหัสผ่านตามที่แนะนำไว้ข้างต้น

— gm2

เช่นเดียวกับที่คุณพูด webaplications มักจะเก็บบันทึกการพยายามเข้าสู่ระบบที่ไม่สมควร หากมีใครบางคนกำลังมองผ่านบันทึกเขาสามารถเชื่อมต่อความพยายามในการเข้าสู่ระบบนี้กับความพยายามอีกครั้งของคุณและประสบความสำเร็จ (เช่นผ่านที่อยู่ IP)

แม้ว่าฉันจะไม่คิดว่ามันจะเกิดขึ้น แต่คุณสามารถเปลี่ยนแปลงได้เสมอ

— dominiczaq
แหล่งที่มา