loader

อะไรคือผลกระทบด้านความปลอดภัยหากรหัสผ่านถูกส่งในช่องชื่อผู้ใช้?

Anonim

สมมติว่าคุณมีวันที่แย่และรีบเข้าสู่เว็บไซต์โปรดจากนั้นส่งรหัสผ่านของคุณในช่องข้อความชื่อผู้ใช้โดยไม่ตั้งใจ คุณควรกังวลและเปลี่ยนรหัสผ่านของคุณสำหรับเว็บไซต์นั้นหรือเป็นเพียงความหวาดกลัวไร้เหตุผล?

เซสชันคำถามและคำตอบของวันนี้มาถึงเราโดยความอนุเคราะห์จาก SuperUser ซึ่งเป็นส่วนย่อยของ Stack Exchange กลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ

คำถาม

ตัวแทนผู้อ่าน SuperUser ต้องการทราบว่าอันตรายของการพิมพ์รหัสผ่านลงในกล่องข้อความชื่อผู้ใช้และการส่งโดยไม่ได้ตั้งใจอาจเป็น:

สมมติว่าฉันพิมพ์รหัสผ่านของฉันลงในกล่องข้อความชื่อผู้ใช้ของเว็บไซต์ที่เข้าเยี่ยมชมบ่อยครั้ง ( https แน่นอน ) และกด Enter ก่อนที่ฉันจะสังเกตเห็นว่าฉันกำลังทำอะไรอยู่

รหัสผ่านของฉันตอนนี้นั่งอยู่ในข้อความธรรมดาในไฟล์บันทึกที่อื่นหรือไม่? ความผิดพลาดของฉันจะถูกเอาเปรียบโดยเจ้าเล่ห์ที่มีฝีมือได้อย่างไร? ช่วยฉันเข้าใจความหมายของความปลอดภัยที่แท้จริงโดยไม่คำนึงถึงความเป็นไปได้ที่จะเกิดขึ้นจริง

ที่จริงแล้วสิ่งนี้จะเป็นสิ่งที่น่าเป็นห่วงหรือคุณอาจมองว่านี่เป็นความผิดพลาดง่าย ๆ และลืมมันไปได้ไหม

คำตอบ

ผู้สนับสนุน SuperUser Nikolay และ GregD มีคำตอบสำหรับเรา มาก่อน Nikolay:

ขึ้นอยู่กับการกำหนดค่าของระบบรับรองความถูกต้องสำหรับเว็บไซต์ หากมีการตั้งค่าให้บันทึกความพยายามใด ๆ ใช่แล้วตอนนี้อยู่ในบันทึก ( ไฟล์ข้อความหรือฐานข้อมูล ) เป็นข้อความธรรมดา มันอาจมีลักษณะเช่นนี้:

12-Feb-2014 12:00:00 AM: ผู้ใช้พยายามเข้าสู่ระบบไม่สำเร็จ (YOUR_PASSSORD_HERE) จาก (YOUR_IP_HERE);

หรือคล้ายกัน

ยังคงเป็นความจริงที่รหัสผ่านจะไม่สามารถเข้าถึงได้สำหรับผู้ใช้ทั่วไปเฉพาะสำหรับผู้ที่สามารถเข้าถึงไฟล์บันทึกได้

ผลที่ตามมาคืออะไร?

  • หากเซิร์ฟเวอร์นั้นถูกโจมตีในทางทฤษฎีแฮ็กเกอร์จะมีรหัสผ่านข้อความธรรมดาของคุณ
  • ผู้ดูแลระบบของเว็บไซต์สามารถเข้าสู่ไฟล์บันทึกและค้นหารหัสผ่านของคุณโดยไม่ได้ตั้งใจ จากนั้นเขาสามารถค้นหาที่อยู่ IP ที่บันทึกนี้มาจากนั้นเขาจึงสามารถค้นหาได้ว่าชื่อผู้ใช้และอีเมลของคุณคืออะไร (เพราะเขาสามารถเข้าถึงฐานข้อมูล)

ดังนั้นหากคุณใช้อีเมล / ชื่อผู้ใช้ / รหัสผ่านเดียวกันบนเว็บไซต์อื่น ๆ ให้เปลี่ยนทันที เนื่องจากมีโอกาสที่รหัสผ่านของคุณจะถูกค้นพบอยู่เสมอ บันทึกสามารถอยู่บนเซิร์ฟเวอร์เป็นเวลาหลายปี

ตามด้วยคำตอบจาก GregD:

เช่นเดียวกับที่คุณพูดเว็บแอปพลิเคชันมักจะเก็บบันทึกการพยายามลงชื่อเข้าใช้ไม่สำเร็จ หากใครบางคนกำลังมองผ่านบันทึกเขาสามารถเชื่อมต่อความพยายามในการเข้าสู่ระบบนี้โดยเฉพาะกับหนึ่งในความพยายามที่ประสบความสำเร็จของคุณ ( เช่นผ่านที่อยู่ IP )

แม้ว่าฉันไม่คิดว่ามันจะเกิดขึ้น แต่คุณสามารถเปลี่ยนแปลงได้เสมอ

ด้วยการโจมตีอย่างต่อเนื่องของข้อมูลที่เราอ่านและได้ยินเกี่ยวกับวันนี้มันจะดีกว่าที่จะเปลี่ยนรหัสผ่านสำหรับเว็บไซต์ที่เป็นปัญหา ( และอื่น ๆ ด้วยรหัสผ่านเดียวกัน ) เพื่อความสบายใจ มันจะดีกว่าปลอดภัยกว่าขออภัยเมื่อพูดถึงความปลอดภัยของบัญชีออนไลน์ของคุณ!


มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่