Ý nghĩa bảo mật nếu mật khẩu được gửi trong trường tên người dùng là gì?
Giả sử bạn đang có một ngày tồi tệ và vội vàng đăng nhập vào một trang web yêu thích, sau đó vô tình gửi mật khẩu của bạn trong hộp văn bản tên người dùng để thay thế. Nếu bạn lo lắng và thay đổi mật khẩu cho trang web đó, hay đó chỉ là nỗi sợ vô căn cứ?
Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ sự hỗ trợ của SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng điều khiển.
Câu hỏi
Tác nhân độc giả của SuperUser muốn biết những nguy hiểm của việc nhập mật khẩu của một người vào hộp văn bản tên người dùng và vô tình gửi nó có thể là:
Giả sử tôi đã nhập mật khẩu của mình vào hộp văn bản tên người dùng của trang web thường xuyên truy cập (https tất nhiên) và nhấn enter trước khi tôi nhận thấy những gì tôi đang làm.
Có phải mật khẩu của tôi hiện đang ngồi trong văn bản đơn giản trong một tệp nhật ký ở đâu đó? Làm thế nào sai lầm của tôi có thể bị khai thác bởi một hành vi sai trái xảo quyệt? Giúp tôi hiểu ý nghĩa bảo mật thực tế bất kể khả năng nó thực sự xảy ra.
Đây thực sự sẽ là một điều đáng lo ngại, hoặc bạn có thể xem đây là một lỗi đơn giản và quên nó đi?
Câu trả lời
Những người đóng góp cho SuperUser Nikolay và GregD có câu trả lời cho chúng tôi. Đầu tiên, Nikolay:
Nó phụ thuộc vào cấu hình của hệ thống xác thực cho trang web. Nếu nó được thiết lập để ghi lại bất kỳ nỗ lực nào, thì có, nó hiện đang ở trong nhật ký (tập tin văn bản hoặc cơ sở dữ liệu) trong văn bản đơn giản. Nó có thể trông như thế này:
12-Feb-2014 12:00:00 AM: Người dùng cố gắng đăng nhập không thành công (YOU_PASSSORD_HERE) từ (Your_IP_HERE);
hoặc tương tự.
Vẫn đúng là mật khẩu sẽ không thể truy cập được đối với người dùng thông thường, chỉ dành cho những người có quyền truy cập vào tệp nhật ký.
Nó có ý nghĩa gì?
- Nếu máy chủ đã từng bị xâm nhập, thì về mặt lý thuyết, hacker sẽ có mật khẩu văn bản đơn giản của bạn.
- Quản trị viên của trang web có thể thường xuyên xem qua các tệp nhật ký và vô tình tìm thấy mật khẩu của bạn. Sau đó anh ta có thể tìm thấy địa chỉ IP mà bản ghi này xuất phát và do đó về mặt lý thuyết anh ta có thể tìm ra tên người dùng và e-mail của bạn (vì anh ta có quyền truy cập vào cơ sở dữ liệu).
Vì vậy, nếu bạn sử dụng cùng một e-mail / tên người dùng / mật khẩu trên các trang web khác, thì hãy thay đổi nó ngay lập tức. Bởi vì luôn có một cơ hội rằng mật khẩu của bạn sẽ được tìm ra. Nhật ký có thể vẫn còn trên máy chủ trong nhiều năm.
Tiếp theo là câu trả lời từ GregD:
Như bạn đã nói, các ứng dụng web có xu hướng lưu giữ nhật ký của các lần thử đăng nhập không thành công. Nếu ai đó xem qua nhật ký, anh ta có thể kết nối lần đăng nhập cụ thể này với một trong những lần thử thành công của bạn (tức là qua địa chỉ IP).
Mặc dù tôi không nghĩ rằng điều này có khả năng xảy ra, nhưng bạn luôn có thể thay đổi nó một cách chắc chắn.
Với hàng loạt các vi phạm dữ liệu chúng tôi đã đọc và nghe về những ngày này, sẽ tốt hơn nếu thay đổi mật khẩu cho trang web được đề cập (và bất kỳ ai khác có cùng mật khẩu) Để yên tâm. Thà an toàn còn hơn xin lỗi khi nói đến tính bảo mật của tài khoản trực tuyến của bạn!
Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.