Wat zijn de beveiligings implicaties als een wachtwoord wordt ingevoerd in het gebruikersnaam veld?
Stel dat u een slechte dag hebt en haast hebt om in te loggen op een favoriete website, dan dient u per ongeluk uw wachtwoord in te voeren in het tekstvak gebruikersnaam. Moet u zich zorgen maken en uw wachtwoord voor die website wijzigen, of is het gewoon ongegronde angst?
De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.
De vraag
SuperUser-lezer agentnega wil weten wat de gevaren zijn van het typen van het wachtwoord in het tekstvak voor gebruikersnaam en het per ongeluk verzenden ervan kan zijn:
Laten we zeggen dat ik mijn wachtwoord heb getypt in het tekstvak gebruikersnaam van een veelbezochte website (https natuurlijk) en druk op enter voordat ik merkte wat ik aan het doen was.
Zit mijn wachtwoord nu ergens in platte tekst in een logbestand? Hoe kon mijn fout worden uitgebuit door een sluwe misdadiger? Help me de feitelijke veiligheidsimplicaties te begrijpen, ongeacht de waarschijnlijkheid dat dit daadwerkelijk gebeurt.
Zou dit echt iets zijn om je zorgen over te maken, of zou je dit kunnen beschouwen als een simpele fout en het vergeten?
Het antwoord
SuperUser-bijdragers Nikolay en GregD hebben het antwoord voor ons. Ten eerste, Nikolay:
Het hangt af van de configuratie van het authenticatiesysteem voor de website. Als het was ingesteld om pogingen te loggen, ja, dan staat het nu in het logboek (tekstbestand of database) in platte tekst. Het kan er als volgt uitzien:
12-feb-2014 12:00:00 AM: Mislukte gebruiker van inlogpogingen (YOUR_PASSSORD_HERE) van (YOUR_IP_HERE);
of vergelijkbaar.
Het is nog steeds waar dat een wachtwoord niet toegankelijk is voor gewone gebruikers, alleen voor degenen die toegang hebben tot logbestanden.
Welke gevolgen houdt dit in?
- Als de server ooit is gecompromitteerd, dan zou de hacker in theorie uw wachtwoord voor platte tekst hebben.
- De beheerder van de website kan routinematig de logbestanden doorlopen en per ongeluk uw wachtwoord vinden. Hij kan dan het IP-adres vinden waar deze record vandaan kwam, en dus kan hij theoretisch achterhalen wat uw gebruikersnaam en e-mail zijn (omdat hij toegang heeft tot de database).
Dus, als u dezelfde e-mail / gebruikersnaam / wachtwoord op andere websites gebruikt, wijzig deze dan onmiddellijk. Omdat er altijd een kans is dat uw wachtwoord wordt gevonden. Logs kunnen jaren op servers blijven.
Gevolgd door het antwoord van GregD:
Zoals u al zei, webapps houden meestal logboeken bij van mislukte inlogpogingen. Als iemand de logboeken zou doorzoeken, zou hij deze specifieke inlogpoging kunnen koppelen aan een van uw succesvolle pogingen (dat wil zeggen via het IP-adres).
Hoewel ik niet denk dat dit waarschijnlijk zal gebeuren, kun je het altijd zeker veranderen.
Met het constante spervuur aan datalekken die we tegenwoordig lezen en horen, is het beter om het wachtwoord voor de betreffende website te wijzigen (en alle anderen met hetzelfde wachtwoord) voor gemoedsrust. Het is beter om veilig te zijn dan sorry als het gaat om de beveiliging van uw online accounts!
Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.