Quais são as implicações de segurança de ter enviado a senha no campo nome de usuário?

19

Digamos que eu digitei minha senha na caixa de texto de nome de usuário de um site visitado com frequência (https, é claro) e pressione Enter antes de perceber o que estava fazendo.

A minha senha agora está em texto simples em um arquivo de log em algum lugar? Como meu erro poderia ser explorado por um mal-intencionado astuto? Ajude-me a entender as implicações de segurança factuais, independentemente da probabilidade de que isso realmente aconteça.

    
por agentnega 12.02.2014 / 23:14

2 respostas

18

Depende da configuração do sistema de autenticação do site. Se foi configurado para registrar qualquer tentativa - do que sim, agora está no log (arquivo de texto ou banco de dados) em texto simples. Poderia ser assim:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

ou similar.

Ainda é verdade que a senha não estará acessível para usuários comuns. Apenas para quem tem acesso aos arquivos de log.

Quais as consequências que isso implica?

  • Se o servidor for comprometido - do que o hacker teoricamente terá sua senha de texto simples.
  • O administrador do site pode rotineiramente percorrer os arquivos de log e acidentalmente encontrar sua senha. Ele pode descobrir de qual endereço IP esse registro veio e, portanto, ele pode teoricamente encontrar qual é o seu nome de usuário e e-mail (porque ele tem acesso ao banco de dados).

Portanto, se você tiver o mesmo email / nome de usuário / senha em outros recursos - do que alterá-lo imediatamente. Porque há chances de que sua senha seja encontrada. Os logs podem permanecer nos servidores por anos.

    
por 12.02.2014 / 23:25
5

Assim como você disse, as complicações na Web tendem a manter registros de tentativas de login mal-intencionadas. Se alguém estiver procurando nos logs, ele poderá conectar essa tentativa de login específica a outra tentativa bem-sucedida (por exemplo, por meio do endereço IP).

Embora eu não ache que é provável que isso aconteça, você sempre pode mudar isso.

    
por 12.02.2014 / 23:25