Apa implikasi keamanan dari mengirimkan kata sandi di bidang nama pengguna?

19

Katakanlah saya mengetik kata sandi saya di kotak teks nama pengguna situs web yang sering dikunjungi (tentu saja https) dan tekan enter sebelum saya perhatikan apa yang saya lakukan.

Apakah kata sandi saya sekarang duduk di plaintext di file log di suatu tempat? Bagaimana kesalahan saya bisa dieksploitasi oleh penjahat licik? Bantu saya memahami implikasi keamanan faktual terlepas dari kemungkinan itu benar-benar terjadi.

agentnega
sumber
4
Saya tidak mengerti mengapa pertanyaan ini ditandai sebagai "berdasarkan pendapat". Ini jelas bertanya "Apa implikasi keamanan" yang dapat (dan, setidaknya diberikan jawaban yang diterima) didukung oleh fakta.
Calimo
Ini adalah topik pada security.stackexchange.com
kinokijuf
@kinokijuf: Tentu saja saya mempertimbangkannya dulu Information Security Stack Exchange is a question and answer site for Information security professionals. Saya bukan satu, dan saya pikir kita tidak perlu menjawab pertanyaan ini. Saya membuat kesalahan yang bisa dilakukan pengguna mana pun, dan saya pikir jawabannya menarik bagi pengguna, bukan profesional keamanan. Namun saya pasti bisa salah.
agentnega
Anda benar, seharusnya ditutup sebagai "terlalu luas"
acak

Jawaban:

18

Itu tergantung pada konfigurasi sistem otentikasi situs. Jika sudah diatur untuk mencatat upaya apa pun - daripada ya, sekarang ada di log (file teks atau basis data) dalam teks biasa. Itu bisa terlihat seperti itu:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

atau serupa.

Memang benar bahwa kata sandi tidak akan dapat diakses oleh pengguna biasa. Hanya untuk mereka yang memiliki akses ke file log.

Apa akibatnya?

  • Jika server akan dikompromikan - dari hacker secara teoritis akan memiliki kata sandi teks biasa Anda.
  • Admin situs dapat secara rutin membuka file log dan secara tidak sengaja menemukan kata sandi Anda. Dia dapat menemukan dari mana alamat IP catatan ini berasal dan dengan demikian dia secara teoritis dapat menemukan apa nama pengguna dan email Anda (karena ia memiliki akses ke database).

Jadi, jika Anda memiliki email / nama pengguna / kata sandi yang sama di sumber daya lain - segera ganti. Karena ada kemungkinan kata sandi Anda akan ditemukan. Log dapat tetap ada di server selama bertahun-tahun.

VL-80
sumber
8
Mungkin ada catatan lokal tentang upaya Anda juga. Banyak (sebagian?) Browser memiliki fitur IsiOtomatis yang diaktifkan secara default dan menyimpan entri formulir tertentu - nama pengguna, alamat email, # telepon, dll. - untuk kenyamanan Anda. Jika Anda membuka halaman login lagi, klik bidang nama pengguna dan tekan tombol panah bawah Anda mungkin melihat kata sandi Anda tercantum bersama dengan nama pengguna. Anda dapat menghapusnya dari daftar, namun, agar benar-benar aman, sebaiknya ubah kata sandi seperti yang disarankan di atas.
gm2
5

Seperti yang Anda katakan, aplikasi web cenderung menyimpan catatan upaya login yang tidak berhasil. Jika seseorang mencari melalui log, ia dapat menghubungkan upaya login khusus ini dengan upaya sukses Anda yang lain (yaitu melalui alamat IP).

Meskipun saya pikir ini tidak mungkin terjadi, Anda selalu dapat mengubahnya.

dominiczaq
sumber