implicacions de seguretat-si-una-contrasenya-és-enviada-al-nom d'usuari-camp-00

Suposem que esteu passant un mal dia i que tingueu pressa per iniciar la sessió a un lloc web preferit, i envieu accidentalment la vostra contrasenya al quadre de text del nom d’usuari. Hauria d’estar preocupat i canviar la vostra contrasenya pel lloc web, o és simplement una por sense fonament?

La sessió de preguntes i respostes d'avui ens proporciona a SuperUser, una subdivisió de Stack Exchange, un grup de llocs web de Q&A impulsat per la comunitat.

La pregunta

L’agent lector de SuperUser vol saber quins són els perills d’escriure una contrasenya al quadre de text del nom d’usuari i enviar-la accidentalment:

Suposem que he escrit la meva contrasenya al quadre de text del nom d’usuari d’un lloc web de visita freqüent (https per descomptat) i que he introduït abans d’adonar-me del que feia. La meva contrasenya ara està en un text sencer en un fitxer de registre en algun lloc? Com pot ser que el meu error es pugui explotar per un enganyós? Ajudeu-me a comprendre les implicacions de seguretat reals independentment de la possibilitat que passi realment.

Seria realment una cosa que et preocuparia, o pots considerar com un simple error i oblidar-te?

La resposta

Els col·laboradors de SuperUser Nikolay i GregD tenen la nostra resposta. Primer cap amunt, Nikolay:

Depèn de la configuració del sistema d’autenticació del lloc web. Si es va configurar per registrar algun intent, llavors sí, ara és al registre (fitxer de text o base de dades) en text normal. Es podria semblar així: 12-feb-2014 12:00:00: Usuari d’intent d’inici de sessió sense èxit (YOUR_PASSSORD_HERE) des de (YOUR_IP_HERE); o similar. Encara és cert que una contrasenya no serà accessible per als usuaris habituals, només per a aquells que tinguin accés als fitxers de registre. Quines conseqüències té? Si el servidor s’hagués compromès mai, teòricament, el pirata informàtic tindria la vostra contrasenya de text. L’administrador del lloc web podria passar habitualment pels fitxers de registre i trobar la contrasenya de forma accidental. A continuació, pot trobar l'adreça IP de la qual provenia aquest registre i, així, teòricament pot saber quin és el vostre nom d'usuari i correu electrònic (perquè té accés a la base de dades). Per tant, si utilitzeu el mateix correu electrònic / nom d’usuari / contrasenya en altres llocs web, canvieu-lo immediatament. Perquè sempre hi ha la possibilitat de saber-ne la contrasenya. Els registres poden romandre en servidors durant anys.

Seguida per la resposta de GregD:

Tal com heu dit, les aplicacions web solen mantenir els registres d’intents d’inici de sessió infructuosos. Si algú mirava els registres, podria connectar aquest intent d’inici de sessió concret amb un dels vostres intents d’èxit (per exemple, mitjançant l’adreça IP). Tot i que no crec que això pugui ocórrer, sempre podeu canviar-ho.

Amb la constància de les infraccions de dades que llegim i escoltem sobre aquests dies, seria millor canviar la contrasenya del lloc web en qüestió (i d’altres que tinguin la mateixa contrasenya) per tranquil·litat. És millor estar segur que ho sento quan es tracta de la seguretat dels vostres comptes en línia.

Té alguna cosa a afegir a l’explicació? So en els comentaris. Voleu llegir més respostes d'altres usuaris de tecnologia basada en tecnologia Stack Exchange? Consulteu aquí el fil complet de discussió.