Kullanıcı adı alanına şifre göndermenin güvenlik üzerindeki etkileri nelerdir?

19

Diyelim ki, sık ziyaret edilen bir web sitesinin (https tabii) kullanıcı adı metin kutusuna şifremi yazdım ve ne yaptığımı fark etmeden enter tuşuna basıyorum.

Parolam şimdi bir yerde bir günlük dosyasında düz metin olarak mı oturuyor? Yanlışlığım, kurnaz bir miscreant tarafından nasıl kullanılabilir? Gerçekte gerçekleşme olasılığından bağımsız olarak olgusal güvenlik sonuçlarını anlamama yardımcı olun.

security  passwords 
agentnega
kaynak
4
Bu sorunun neden "görüşe dayalı" olarak işaretlendiğini anlamıyorum. Açık bir şekilde gerçeklerle desteklenebilecek (ve en azından kabul edilen cevap verilen) güvenlik etkileri nelerdir?
Calimo
Bu konuda güvenlik
Stackexchange.com
@kinokijuf: Kesinlikle ilk olarak bunu düşündüm Information Security Stack Exchange is a question and answer site for Information security professionals. Ben değilim ve bu soruyu cevaplamak için birine ihtiyacımız olduğunu düşünmüyorum. Herhangi bir kullanıcının yapabileceği bir hata yaptım ve cevapların güvenlik uzmanları için değil, kullanıcılar için ilginç olduğunu düşünüyorum. Ancak kesinlikle yanlış olabilirim.
agentnega
Haklısın, "çok geniş" olarak kapatılmış olmalıydı
rastgele

Yanıtlar:

18

Sitenin kimlik doğrulama sisteminin yapılandırılmasına bağlıdır. Herhangi bir denemeyi günlüğe kaydetmek için ayarlanmışsa - evet dışında, şimdi günlükte (metin dosyası veya veritabanı) düz metin biçimindedir. Şöyle görünebilir:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

veya benzeri.

Şifrenin normal kullanıcılar için erişilebilir olmayacağı hala doğrudur. Yalnızca günlük dosyalarına erişimi olanlar için.

Ne gibi sonuçlar doğurur?

  • Sunucu tehlikeye atılırsa - teorik olarak korsandan düz metin şifreniz olur.
  • Sitenin yöneticisi rutin olarak günlük dosyalarına gidebilir ve yanlışlıkla şifrenizi bulabilir. Bu kaydın hangi IP adresinden geldiğini bulabilir ve böylece kullanıcı adınızın ve e-postanızın ne olduğunu teorik olarak bulabilir (çünkü veritabanına erişimi vardır).

Yani, diğer kaynaklarda aynı e-posta / kullanıcı adı / şifreniz varsa - hemen değiştirmek yerine. Çünkü şifrenizin bulunma ihtimali vardır. Günlükler sunucularda yıllarca kalabilir.

VL-80
kaynak
8
Denemenizin yerel bir kaydı da olabilir. Birçok (en çok?) Tarayıcının, varsayılan olarak etkin olan ve size kolaylık olması için belirli form girdilerini (kullanıcı adı, e-posta adresi, telefon numarası vb. ) Kaydeden Otomatik Doldurma özelliği vardır. Giriş sayfasını tekrar açarsanız, kullanıcı adı alanını tıklayın ve aşağı ok tuşuna basarak şifrenizin kullanıcı adlarıyla birlikte listelendiğini görebilirsiniz. Listeden silebilirsiniz, ancak kesinlikle güvenli olmak için yukarıda önerildiği gibi şifrenizi değiştirmeniz en iyisidir.
gm2
5

Söylediğiniz gibi, webaplications başarısız oturum açma girişimleri günlükleri tutmak eğilimindedir. Birisi günlükleri inceliyorsa, bu özel giriş denemesini başka bir başarılı denemenize bağlayabilir (yani IP adresi aracılığıyla).

Bunun olabileceğini düşünmeme rağmen, emin olmak için her zaman değiştirebilirsiniz.

dominiczaq
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.