Pagina inicial » como » Quais são as implicações de segurança se uma senha é enviada no campo Nome de usuário?

    Quais são as implicações de segurança se uma senha é enviada no campo Nome de usuário?

    Suponha que você esteja tendo um dia ruim e com pressa para fazer login em um site favorito e, em seguida, envie sua senha acidentalmente na caixa de texto nome de usuário. Você deve estar preocupado e mudar sua senha para esse site, ou é apenas um medo infundado??

    A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade..

    A questão

    Leitor de superusuário agentnega quer saber quais são os perigos de digitar sua senha na caixa de texto de nome de usuário e enviá-la acidentalmente:

    Digamos que eu digitei minha senha na caixa de texto de nome de usuário de um site visitado com freqüência (https claro) e aperte enter antes que eu percebesse o que estava fazendo.

    Minha senha está agora em texto sem formatação em algum arquivo de log? Como poderia meu erro ser explorado por um mal-intencionado astuto? Ajude-me a entender as reais implicações de segurança, independentemente da probabilidade de isso realmente acontecer.

    Isso realmente seria algo para se preocupar, ou você poderia olhar isso como um simples erro e esquecer isso??

    A resposta

    Os colaboradores do SuperUser, Nikolay e GregD, têm a resposta para nós. Primeiro, Nikolay:

    Depende da configuração do sistema de autenticação do site. Se foi configurado para registrar qualquer tentativa, então sim, agora está no log (arquivo de texto ou banco de dados) em texto simples. Poderia ser assim:

    12-Feb-2014 12:00:00 AM: Usuário malsucedido de tentativa de login (YOUR_PASSSORD_HERE) de (YOUR_IP_HERE);

    ou similar.

    Ainda é verdade que uma senha não estará acessível para usuários regulares, apenas para aqueles que têm acesso a arquivos de log.

    Que consequências isso implica?

    • Se o servidor já foi comprometido, então, teoricamente, o hacker teria sua senha de texto simples.
    • O administrador do site pode rotineiramente percorrer os arquivos de log e acidentalmente encontrar sua senha. Ele pode então encontrar o endereço IP de onde veio esse registro, e assim ele pode teoricamente descobrir qual é o seu nome de usuário e e-mail (porque ele tem acesso ao banco de dados).

    Portanto, se você usar o mesmo e-mail / nome de usuário / senha em outros sites, altere-o imediatamente. Porque sempre há uma chance de sua senha ser descoberta. Logs podem permanecer em servidores por anos.

    Seguido pela resposta de GregD:

    Assim como você disse, os aplicativos da web tendem a manter registros de tentativas de login malsucedidas. Se alguém examinasse os logs, ele poderia conectar essa tentativa de login específica a uma de suas tentativas bem-sucedidas (ou seja, via endereço IP).

    Embora eu não ache que isso possa acontecer, você sempre pode mudar.

    Com a constante enxurrada de violações de dados que lemos e ouvimos sobre esses dias, seria melhor alterar a senha do site em questão (e quaisquer outros com a mesma senha) para a paz de espírito. É melhor prevenir do que remediar quando se trata da segurança de suas contas online!


    Tem algo a acrescentar à explicação? Som desligado nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.