โฮมเพจ » ทำอย่างไร » อะไรคือผลกระทบด้านความปลอดภัยหากรหัสผ่านถูกส่งในช่องชื่อผู้ใช้?

    อะไรคือผลกระทบด้านความปลอดภัยหากรหัสผ่านถูกส่งในช่องชื่อผู้ใช้?

    สมมติว่าคุณมีวันที่แย่และรีบเข้าสู่เว็บไซต์โปรดจากนั้นส่งรหัสผ่านของคุณในช่องข้อความชื่อผู้ใช้โดยไม่ตั้งใจ หากคุณเป็นกังวลและเปลี่ยนรหัสผ่านสำหรับเว็บไซต์นั้นหรือเป็นเพียงความหวาดกลัวไร้เหตุผล?

    เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.

    คำถาม

    ตัวแทนผู้อ่าน SuperUser ต้องการทราบว่าอันตรายของการพิมพ์รหัสผ่านลงในกล่องข้อความชื่อผู้ใช้และการส่งโดยไม่ได้ตั้งใจอาจเป็น:

    สมมติว่าฉันพิมพ์รหัสผ่านของฉันลงในกล่องข้อความชื่อผู้ใช้ของเว็บไซต์ที่เข้าชมบ่อย (https แน่นอน) และกด Enter ก่อนที่ฉันจะสังเกตเห็นว่าฉันกำลังทำอะไรอยู่.

    รหัสผ่านของฉันตอนนี้นั่งอยู่ในข้อความธรรมดาในไฟล์บันทึกที่อื่นหรือไม่? ความผิดพลาดของฉันจะถูกเอาเปรียบโดยเจ้าเล่ห์ที่มีฝีมือได้อย่างไร? ช่วยฉันเข้าใจความหมายของความปลอดภัยที่แท้จริงโดยไม่คำนึงถึงความเป็นไปได้ที่จะเกิดขึ้นจริง.

    นี่อาจเป็นสิ่งที่ต้องกังวลหรือคุณอาจมองว่านี่เป็นความผิดพลาดง่าย ๆ และลืมมันไป?

    คำตอบ

    ผู้สนับสนุน SuperUser Nikolay และ GregD มีคำตอบสำหรับเรา มาก่อน Nikolay:

    ขึ้นอยู่กับการกำหนดค่าของระบบรับรองความถูกต้องสำหรับเว็บไซต์ หากมีการตั้งค่าให้บันทึกความพยายามใด ๆ ใช่แล้วตอนนี้อยู่ในบันทึก (ไฟล์ข้อความหรือฐานข้อมูล) เป็นข้อความธรรมดา มันอาจมีลักษณะเช่นนี้:

    12-Feb-2014 12:00:00 AM: ผู้ใช้พยายามเข้าสู่ระบบไม่สำเร็จ (YOUR_PASSSORD_HERE) จาก (YOUR_IP_HERE);

    หรือคล้ายกัน.

    ยังคงเป็นความจริงที่รหัสผ่านจะไม่สามารถเข้าถึงได้สำหรับผู้ใช้ทั่วไปเฉพาะสำหรับผู้ที่สามารถเข้าถึงไฟล์บันทึกได้.

    ผลที่ตามมาคืออะไร?

    • หากเซิร์ฟเวอร์นั้นถูกโจมตีในทางทฤษฎีแฮ็กเกอร์จะมีรหัสผ่านข้อความธรรมดาของคุณ.
    • ผู้ดูแลระบบของเว็บไซต์สามารถเข้าสู่ไฟล์บันทึกและค้นหารหัสผ่านของคุณโดยไม่ได้ตั้งใจ จากนั้นเขาสามารถค้นหาที่อยู่ IP ที่บันทึกนี้มาจากนั้นเขาจึงสามารถค้นหาว่าชื่อผู้ใช้และอีเมลของคุณคืออะไร (เพราะเขาสามารถเข้าถึงฐานข้อมูลได้).

    ดังนั้นหากคุณใช้อีเมล / ชื่อผู้ใช้ / รหัสผ่านเดียวกันบนเว็บไซต์อื่น ๆ ให้เปลี่ยนทันที เนื่องจากมีโอกาสที่รหัสผ่านของคุณจะถูกค้นพบอยู่เสมอ บันทึกสามารถอยู่บนเซิร์ฟเวอร์เป็นเวลาหลายปี.

    ตามด้วยคำตอบจาก GregD:

    เช่นเดียวกับที่คุณพูดเว็บแอปพลิเคชันมักจะเก็บบันทึกการพยายามลงชื่อเข้าใช้ไม่สำเร็จ หากมีคนดูบันทึกเขาสามารถเชื่อมต่อความพยายามเข้าสู่ระบบนี้โดยเฉพาะกับหนึ่งในความพยายามที่ประสบความสำเร็จของคุณ (เช่นผ่านที่อยู่ IP).

    แม้ว่าฉันไม่คิดว่ามันจะเกิดขึ้น แต่คุณสามารถเปลี่ยนแปลงได้เสมอ.

    ด้วยการโจมตีอย่างต่อเนื่องของข้อมูลที่เราอ่านและได้ยินเกี่ยวกับวันนี้มันจะดีกว่าที่จะเปลี่ยนรหัสผ่านสำหรับเว็บไซต์ที่เป็นปัญหา (และอื่น ๆ ด้วยรหัสผ่านเดียวกัน) เพื่อความอุ่นใจ มันจะดีกว่าปลอดภัยกว่าขออภัยเมื่อพูดถึงความปลอดภัยของบัญชีออนไลน์ของคุณ!


    มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.