Quali sono le implicazioni di sicurezza di avere inviato la password nel campo nome utente?

19

Diciamo che ho digitato la mia password nella casella di testo del nome utente di un sito Web visitato di frequente (https ovviamente) e premere invio prima di notare cosa stavo facendo.

La mia password ora si trova in chiaro in un file di registro da qualche parte? Come potrebbe il mio errore essere sfruttato da un furbo miscredente? Aiutami a comprendere le implicazioni concrete della sicurezza, indipendentemente dalla probabilità che accada realmente.

security  passwords 
agentnega
fonte
4
Non capisco perché questa domanda sia contrassegnata come "basata sull'opinione". Chiede chiaramente "Quali sono le implicazioni per la sicurezza" che possono essere (ed è, data almeno la risposta accettata) sostenuta da fatti.
Calimo,
Questo è un argomento su security.stackexchange.com
kinokijuf,
@kinokijuf: Certamente l'ho considerato per primo, comunque Information Security Stack Exchange is a question and answer site for Information security professionals. Non sono uno e non credo che ne abbiamo bisogno per rispondere a questa domanda. Ho fatto un errore che qualsiasi utente potrebbe fare e penso che le risposte siano interessanti per gli utenti, non per i professionisti della sicurezza. Tuttavia, potrei certamente sbagliarmi.
agentnega,
Hai ragione, avrebbe dovuto essere chiuso come "troppo ampio"
casuale

Risposte:

18

Dipende dalla configurazione del sistema di autenticazione del sito. Se è stato impostato per registrare eventuali tentativi, quindi sì, ora è nel registro (file di testo o database) in testo semplice. Potrebbe apparire così:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

o simili.

È ancora vero che la password non sarà accessibile per gli utenti normali. Solo per coloro che hanno accesso ai file di registro.

Quali conseguenze implica?

  • Se il server sarebbe compromesso, allora l'hacker teoricamente avrà la tua password in chiaro.
  • L'amministratore del sito potrebbe regolarmente passare attraverso i file di registro e trovare accidentalmente la password. Riesce a trovare l'indirizzo IP da cui proviene questo record e quindi in teoria può trovare qual è il tuo nome utente e la tua e-mail (perché ha accesso al database).

Quindi, se hai lo stesso indirizzo e-mail / nome utente / password su altre risorse, quindi modificalo immediatamente. Perché ci sono possibilità che la tua password venga trovata. I log possono rimanere sui server per anni.

VL-80
fonte
8
Potrebbe esserci anche un registro locale del tuo tentativo. Molti (la maggior parte?) Browser hanno un riempimento automatico funzione di abilitata per impostazione predefinita e salva alcune voci del modulo (nome utente, indirizzo e-mail, numero di telefono, ecc.) Per comodità. Se si apre di nuovo la pagina di accesso, fare clic sul campo nome utente e premere il tasto freccia giù per visualizzare la password elencata insieme al nome utente. Puoi eliminarlo dall'elenco, tuttavia, per essere assolutamente sicuro, sarebbe meglio cambiare la password come suggerito sopra.
gm2,
5

Proprio come hai detto, le applicazioni web tendono a conservare i registri dei tentativi di accesso non riusciti. Se qualcuno guarderebbe attraverso i registri, può connettere questo particolare tentativo di accesso con un altro tentativo riuscito (ad es. Tramite indirizzo IP).

Anche se non credo che ciò accadrà, puoi sempre cambiarlo.

dominiczaq
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.