Quais são as implicações de segurança de ter enviado a senha no campo nome de usuário?

Navegue suas respostas
19

Digamos que eu digitei minha senha na caixa de texto de nome de usuário de um site visitado com frequência (https, é claro) e pressione Enter antes de perceber o que estava fazendo.

A minha senha agora está em texto simples em um arquivo de log em algum lugar? Como meu erro poderia ser explorado por um mal-intencionado astuto? Ajude-me a entender as implicações de segurança factuais, independentemente da probabilidade de que isso realmente aconteça.

    
por agentnega 12.02.2014 / 23:14

2 respostas

18

Depende da configuração do sistema de autenticação do site. Se foi configurado para registrar qualquer tentativa - do que sim, agora está no log (arquivo de texto ou banco de dados) em texto simples. Poderia ser assim: 

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

ou similar.

Ainda é verdade que a senha não estará acessível para usuários comuns. Apenas para quem tem acesso aos arquivos de log.

Quais as consequências que isso implica?

  • Se o servidor for comprometido - do que o hacker teoricamente terá sua senha de texto simples.
  • O administrador do site pode rotineiramente percorrer os arquivos de log e acidentalmente encontrar sua senha. Ele pode descobrir de qual endereço IP esse registro veio e, portanto, ele pode teoricamente encontrar qual é o seu nome de usuário e e-mail (porque ele tem acesso ao banco de dados).

Portanto, se você tiver o mesmo email / nome de usuário / senha em outros recursos - do que alterá-lo imediatamente. Porque há chances de que sua senha seja encontrada. Os logs podem permanecer nos servidores por anos.

    
por 12.02.2014 / 23:25
5

Assim como você disse, as complicações na Web tendem a manter registros de tentativas de login mal-intencionadas. Se alguém estiver procurando nos logs, ele poderá conectar essa tentativa de login específica a outra tentativa bem-sucedida (por exemplo, por meio do endereço IP).

Embora eu não ache que é provável que isso aconteça, você sempre pode mudar isso.

    
por 12.02.2014 / 23:25

Tags

No Windows 8.1, existe uma maneira de garantir que um processo não seja o primeiro a ser eliminado quando ficar sem RAM? Existe um driver Ethernet USB da Apple para o Windows?