Quali sono le implicazioni per la sicurezza se viene inserita una password nel campo Nome utente?

Sommario:

Quali sono le implicazioni per la sicurezza se viene inserita una password nel campo Nome utente?
Quali sono le implicazioni per la sicurezza se viene inserita una password nel campo Nome utente?

Video: Quali sono le implicazioni per la sicurezza se viene inserita una password nel campo Nome utente?

Video: Quali sono le implicazioni per la sicurezza se viene inserita una password nel campo Nome utente?
Video: Come utilizzare e salvare offline le mappe di Google Maps - YouTube 2024, Novembre
Anonim
Supponiamo che tu stia passando una brutta giornata e abbia fretta di accedere a un sito web preferito, quindi inserisci per errore la tua password nella casella di testo del nome utente. Dovresti essere preoccupato e cambiare la tua password per quel sito, o è solo paura senza fondamento?
Supponiamo che tu stia passando una brutta giornata e abbia fretta di accedere a un sito web preferito, quindi inserisci per errore la tua password nella casella di testo del nome utente. Dovresti essere preoccupato e cambiare la tua password per quel sito, o è solo paura senza fondamento?

La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte basato sulla comunità.

La domanda

Il lettore SuperUser agentnega vuole sapere quali sono i pericoli di digitare la propria password nella casella di testo del nome utente e inviarlo accidentalmente potrebbe essere:

Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.

Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implications regardless of the likelihood of it actually happening.

Sarebbe davvero qualcosa di cui preoccuparsi, o potreste considerarlo come un semplice errore e dimenticarlo?

La risposta

Collaboratori SuperUser Nikolay e GregD hanno la risposta per noi. Per prima cosa, Nikolay:

It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);

or similar.

It is still true that a password will not be accessible for regular users, only for those who have access to log files.

What consequences does it imply?

  • If the server was ever compromised, then theoretically, the hacker would have your plain text password.
  • The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).

So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.

Seguito dalla risposta di GregD:

Just as you said, web applications tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).

Though I do not think this is likely to happen, you can always change it be sure.

Con la raffica costante di violazioni dei dati che leggiamo e sentiamo in questi giorni, sarebbe meglio cambiare la password per il sito web in questione (e tutti gli altri con la stessa password) per la pace della mente. È meglio prevenire che curare quando si tratta della sicurezza dei tuoi account online!

Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.

Consigliato: