Які наслідки для безпеки щодо подання пароля в полі користувача?

Скажімо, я набрав пароль у текстове поле часто відвідуваного веб-сайту (https naravno) та натиснув клавішу Enter, перш ніж я помітив, що я роблю.

Зараз мій пароль десь сидить у простому тексті у файлі журналу? Як мій помилку міг скористатись хитрим злочинцем? Допоможіть мені зрозуміти фактичні наслідки для безпеки незалежно від ймовірності того, що це насправді станеться.

security passwords

— агентнега
джерело

Я не розумію, чому це питання позначено як "засноване на думці". Це чітко запитує "Які наслідки для безпеки", які можуть бути (і, принаймні, прийнятою відповіддю) підкріплені фактами.

— Калімо

Це тематика на security.stackexchange.com

— kinokijuf

@kinokijuf: Безумовно, я вважав це першим Information Security Stack Exchange is a question and answer site for Information security professionals. Я не один, і я не думаю, що нам потрібен такий, щоб відповісти на це питання. Я допустив помилку, яку міг зробити будь-який користувач, і я думаю, що відповіді цікаві користувачам, а не фахівцям із безпеки. Однак я, безумовно, можу помилитися.

— agentnega

Ви маєте рацію, його слід було закрити як "занадто широке"

— випадково

Відповіді:

Це залежить від конфігурації системи аутентифікації сайту. Якщо він був налаштований для реєстрації будь-яких спроб - ніж так, він зараз знаходиться в журналі (текстовий файл або база даних) у простому тексті. Це могло виглядати так:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

або подібне.

Досі вірно, що пароль не буде доступний для постійних користувачів. Лише для тих, хто має доступ до файлів журналу.

Які наслідки це має на увазі?

Якщо сервер буде поставлений під загрозу - теоретично хакер матиме ваш звичайний текстовий пароль.
Адміністратор сайту може регулярно переходити через файли журналу та випадково знаходити ваш пароль. Він може ніж знайти, з якої IP-адреси прийшов цей запис, і, таким чином, він теоретично може знайти те, що ваше ім’я користувача та електронна пошта (оскільки він має доступ до бази даних).

Тож, якщо у вас є однакова електронна адреса / ім’я користувача / пароль на інших ресурсах - замініть це негайно. Тому що є шанси, що ваш пароль буде знайдений. Журнали можуть залишатися на серверах роками.

— VL-80
джерело

Можливо, є і місцевий запис вашої спроби. У багатьох веб-переглядачах є функція автозаповнення, яка включена за замовчуванням та зберігає певні записи форми - ім’я користувача, електронну адресу, номер телефону тощо - для вашої зручності. Якщо ви знову відкриєте сторінку входу, натисніть поле ім’я користувача та натисніть клавішу зі стрілкою вниз, ви побачите ваш пароль, вказаний разом із іменами користувача. Ви можете видалити його зі списку, проте, щоб бути абсолютно безпечним, найкраще буде змінити свій пароль, як було запропоновано вище.

— гм2

Як ви вже говорили, в наслідок, як правило, зберігаються журнали невдалих спроб входу. Якщо хтось перегляне журнали, він може зв'язати цю конкретну спробу входу з іншою, успішною спробою (тобто через IP-адресу).

Хоча я не думаю, що це, мабуть, станеться, ви завжди можете змінити це напевно.

— домінікак
джерело