Millised on turvamõjud, kui parool on kasutajanime väljale esitatud?
Oletame, et teil on halb päev ja kiire sisselogimine lemmik veebilehele, seejärel saatke kogemata oma salasõna kasutajanime tekstikasti. Kui te peaksite muretsema ja muutma oma veebisaidi parooli või kas see on lihtsalt põhjendamatu hirm?
Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotis, kogukondlikult juhitav Q&A veebisaitide rühmitus.
Küsimus
SuperUser-lugeja agentnega tahab teada, millised on parooli sisestamise ohud kasutajanime tekstikasti ja selle tahtmatu esitamine võiks olla:
Oletame, et kirjutasin oma parooli sageli külastatud veebisaidi kasutajanimi tekstikasti (https muidugi) ja vajuta Enter, enne kui märkasin, mida ma tegin.
Kas mu parool istub kusagil logifailis tavalisel tekstil? Kuidas saaks minu viga ära kasutada salakaval viga? Aidake mul mõista tegelikke turvalisuse mõjusid, olenemata selle tegelikust tõenäosusest.
Kas see oleks tegelikult midagi, mida peaks muretsema, või kas te võiksite seda vaadelda lihtsa veana ja sellest unustada?
Vastus
SuperUser'i toetajad Nikolai ja GregD on meile vastuseks. Esiteks, Nikolai:
See sõltub veebisaidi autentimissüsteemi konfiguratsioonist. Kui see oli mõni katse registreerimine, siis jah, see on nüüd logis (tekstifail või andmebaas) lihttekstina. See võib näida välja selline:
12-veebruar 2014 12:00:00 AM: ebaõnnestunud sisselogimiskatse kasutaja (YOUR_PASSSORD_HERE) (YOUR_IP_HERE);
vms.
On siiski tõsi, et parool ei ole tavakasutajatele kättesaadav, ainult neile, kellel on juurdepääs logifailidele.
Millised on selle tagajärjed?
- Kui server oli kunagi ohustatud, siis teoreetiliselt oleks häkkeril oma lihtteksti parool.
- Veebisaidi administraator võib regulaarselt logifaile läbi vaadata ja oma juhuslikult oma parooli leida. Seejärel võib ta leida IP-aadressi, millest see kirje pärineb, ja ta saab teoreetiliselt teada, milline on teie kasutajanimi ja e-kiri (kuna tal on juurdepääs andmebaasile).
Niisiis, kui kasutate sama e-posti / kasutajanime / parooli teistel veebisaitidel, siis vahetage see kohe. Kuna on alati võimalus, et teie parool selgub. Palgid võivad jääda serveritele aastaid.
Järgneb GregD vastus:
Nagu te ütlesite, kipuvad veebirakendused hoidma ebaõnnestunud sisselogimiskatsete logisid. Kui keegi peaks logisid läbi vaatama, võib ta selle konkreetse sisselogimiskatsega ühendada ühe teie eduka katsega (st IP-aadressi kaudu).
Kuigi ma ei usu, et see tõenäoliselt juhtub, võite alati seda kindlasti muuta.
Arvestades, et nendest päevadest loeme ja kuuleme pidevalt andmeid, siis oleks parem muuta kõnealuse veebisaidi parooli (ja teised sama parooliga) meelerahu. Online-kontode turvalisuse osas on parem olla kahetsusväärne!
Kas teil on midagi lisada selgitusele? Heli on kommentaarides välja lülitatud. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.