Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?

Inhaltsverzeichnis:

Video: Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?

Video: Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?
Video: Netflix auf Macbook downloaden Deutsch 🍿 Schnell & Einfach erklärt! 2024, März
Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?
Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?
Anonim
Angenommen, Sie haben einen schlechten Tag und haben es eilig, sich bei einer bevorzugten Website anzumelden. Geben Sie dann versehentlich Ihr Kennwort in das Textfeld für den Benutzernamen ein. Sollten Sie sich Sorgen machen und Ihr Passwort für diese Website ändern, oder ist es einfach grundlose Angst?
Angenommen, Sie haben einen schlechten Tag und haben es eilig, sich bei einer bevorzugten Website anzumelden. Geben Sie dann versehentlich Ihr Kennwort in das Textfeld für den Benutzernamen ein. Sollten Sie sich Sorgen machen und Ihr Passwort für diese Website ändern, oder ist es einfach grundlose Angst?

Die heutige Question & Answer-Sitzung wird von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.

Die Frage

SuperUser reader agentnega möchte wissen, welche Gefahren das Eingeben des Kennworts in das Textfeld für den Benutzernamen und dessen versehentliches Absenden birgt:

Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.

Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implications regardless of the likelihood of it actually happening.

Wäre das wirklich etwas, worüber Sie sich Sorgen machen müssten, oder könnten Sie das als einfachen Fehler betrachten und es vergessen?

Die Antwort

Die SuperUser-Mitwirkenden Nikolay und GregD haben die Antwort für uns. Erstens, Nikolay:

It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);

or similar.

It is still true that a password will not be accessible for regular users, only for those who have access to log files.

What consequences does it imply?

  • If the server was ever compromised, then theoretically, the hacker would have your plain text password.
  • The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).

So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.

Gefolgt von der Antwort von GregD:

Just as you said, web applications tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).

Though I do not think this is likely to happen, you can always change it be sure.

Aufgrund der ständigen Flut von Verstößen gegen die Daten, die wir in diesen Tagen lesen und hören, ist es besser, das Passwort für die betreffende Website zu ändern (und alle anderen mit dem gleichen Passwort) Für Seelenfrieden. Es ist besser, als sicher zu sein, wenn es um die Sicherheit Ihrer Online-Konten geht!

Haben Sie etwas zur Erklärung hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.

Empfohlen: