Hvad er sikkerhedsimplikationerne, hvis et kodeord indsendes i brugernavnfeltet?
Antag, at du har en dårlig dag og har travlt med at logge ind på et yndlingswebsted, og tilfældigvis indsende dit kodeord i brugerens tekstfelt i stedet. Skulle du være bekymret og ændre dit kodeord for den pågældende hjemmeside, eller er det bare grundløs frygt?
Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.
Spørgsmålet
SuperUser læser agentnega ønsker at vide, hvad farerne ved at skrive sit password ind i brugerens tekstboks og ved et uheld sende det kunne være:
Lad os sige, at jeg skrev min adgangskode til brugernavnets tekstboks på et ofte besøgt websted (https selvfølgelig) og ramte ind før jeg lagde mærke til, hvad jeg gjorde.
Er mit kodeord nu sidder i ren tekst i en logfil et eller andet sted? Hvordan kunne min fejl udnyttes af en hånlig miscreant? Hjælp mig med at forstå de faktiske sikkerhedsmæssige konsekvenser uanset sandsynligheden for, at det rent faktisk sker.
Ville det faktisk være noget at være bekymret over, eller kunne du se på dette som en simpel fejl og glemme det?
Svaret
SuperUser bidragsydere Nikolay og GregD har svaret for os. Først op, Nikolay:
Det afhænger af konfigurationen af godkendelsessystemet til hjemmesiden. Hvis det var setup at logge på nogen forsøg, så ja, det er nu i logfilen (tekstfil eller database) i almindelig tekst. Det kunne se sådan ud:
12-Feb-2014 12:00:00: Mislykket login login-bruger (YOUR_PASSSORD_HERE) fra (YOUR_IP_HERE);
eller lignende.
Det er stadig sandt, at en adgangskode ikke vil være tilgængelig for regelmæssige brugere, kun for dem, der har adgang til logfiler.
Hvilke konsekvenser betyder det?
- Hvis serveren nogensinde blev kompromitteret, så ville hackeren din teoretisk have din almindelig tekstadgangskode.
- Webstedets administrator kunne rutinemæssigt gennemgå logfilerne og ved et uheld finde dit kodeord. Han kan derefter finde den IP-adresse, denne post kom fra, og dermed kan han teoretisk finde ud af, hvad dit brugernavn og e-mail er (fordi han har adgang til databasen).
Så hvis du bruger det samme e-mail / brugernavn / adgangskode på andre hjemmesider, skal du ændre det med det samme. Fordi der altid er en chance for at din adgangskode bliver fundet ud. Logfiler kan forblive på servere i årevis.
Efterfulgt af svaret fra GregD:
Som du sagde, har webapplikationer tendens til at holde logfiler for mislykkede loginforsøg. Hvis nogen skulle gennemse logfilerne, kunne han forbinde dette særlige login forsøg med et af dine succesfulde forsøg (dvs. via IP-adresse).
Selvom jeg ikke tror, at dette sandsynligvis vil ske, kan du altid ændre det, være sikker.
Med den konstante spærring af databrud vi læser og hører om disse dage, ville det være bedre at ændre adgangskoden til den pågældende hjemmeside (og andre med samme adgangskode) for fred i sindet. Det er bedre at være sikker end undskyld, når det kommer til sikkerheden for dine onlinekonti!
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.