โฮมเพจ » ทำอย่างไร » อะไรคือผลกระทบด้านความปลอดภัยหากรหัสผ่านถูกส่งในช่องชื่อผู้ใช้?

    อะไรคือผลกระทบด้านความปลอดภัยหากรหัสผ่านถูกส่งในช่องชื่อผู้ใช้?

    สมมติว่าคุณมีวันที่แย่และรีบเข้าสู่เว็บไซต์โปรดจากนั้นส่งรหัสผ่านของคุณในช่องข้อความชื่อผู้ใช้โดยไม่ตั้งใจ หากคุณเป็นกังวลและเปลี่ยนรหัสผ่านสำหรับเว็บไซต์นั้นหรือเป็นเพียงความหวาดกลัวไร้เหตุผล?

    เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.

    คำถาม

    ตัวแทนผู้อ่าน SuperUser ต้องการทราบว่าอันตรายของการพิมพ์รหัสผ่านลงในกล่องข้อความชื่อผู้ใช้และการส่งโดยไม่ได้ตั้งใจอาจเป็น:

    สมมติว่าฉันพิมพ์รหัสผ่านของฉันลงในกล่องข้อความชื่อผู้ใช้ของเว็บไซต์ที่เข้าชมบ่อย (https แน่นอน) และกด Enter ก่อนที่ฉันจะสังเกตเห็นว่าฉันกำลังทำอะไรอยู่.

    รหัสผ่านของฉันตอนนี้นั่งอยู่ในข้อความธรรมดาในไฟล์บันทึกที่อื่นหรือไม่? ความผิดพลาดของฉันจะถูกเอาเปรียบโดยเจ้าเล่ห์ที่มีฝีมือได้อย่างไร? ช่วยฉันเข้าใจความหมายของความปลอดภัยที่แท้จริงโดยไม่คำนึงถึงความเป็นไปได้ที่จะเกิดขึ้นจริง.

    นี่อาจเป็นสิ่งที่ต้องกังวลหรือคุณอาจมองว่านี่เป็นความผิดพลาดง่าย ๆ และลืมมันไป?

    คำตอบ

    ผู้สนับสนุน SuperUser Nikolay และ GregD มีคำตอบสำหรับเรา มาก่อน Nikolay:

    ขึ้นอยู่กับการกำหนดค่าของระบบรับรองความถูกต้องสำหรับเว็บไซต์ หากมีการตั้งค่าให้บันทึกความพยายามใด ๆ ใช่แล้วตอนนี้อยู่ในบันทึก (ไฟล์ข้อความหรือฐานข้อมูล) เป็นข้อความธรรมดา มันอาจมีลักษณะเช่นนี้:

    12-Feb-2014 12:00:00 AM: ผู้ใช้พยายามเข้าสู่ระบบไม่สำเร็จ (YOUR_PASSSORD_HERE) จาก (YOUR_IP_HERE);

    หรือคล้ายกัน.

    ยังคงเป็นความจริงที่รหัสผ่านจะไม่สามารถเข้าถึงได้สำหรับผู้ใช้ทั่วไปเฉพาะสำหรับผู้ที่สามารถเข้าถึงไฟล์บันทึกได้.

    ผลที่ตามมาคืออะไร?

    • หากเซิร์ฟเวอร์นั้นถูกโจมตีในทางทฤษฎีแฮ็กเกอร์จะมีรหัสผ่านข้อความธรรมดาของคุณ.
    • ผู้ดูแลระบบของเว็บไซต์สามารถเข้าสู่ไฟล์บันทึกและค้นหารหัสผ่านของคุณโดยไม่ได้ตั้งใจ จากนั้นเขาสามารถค้นหาที่อยู่ IP ที่บันทึกนี้มาจากนั้นเขาจึงสามารถค้นหาว่าชื่อผู้ใช้และอีเมลของคุณคืออะไร (เพราะเขาสามารถเข้าถึงฐานข้อมูลได้).

    ดังนั้นหากคุณใช้อีเมล / ชื่อผู้ใช้ / รหัสผ่านเดียวกันบนเว็บไซต์อื่น ๆ ให้เปลี่ยนทันที เนื่องจากมีโอกาสที่รหัสผ่านของคุณจะถูกค้นพบอยู่เสมอ บันทึกสามารถอยู่บนเซิร์ฟเวอร์เป็นเวลาหลายปี.

    ตามด้วยคำตอบจาก GregD:

    เช่นเดียวกับที่คุณพูดเว็บแอปพลิเคชันมักจะเก็บบันทึกการพยายามลงชื่อเข้าใช้ไม่สำเร็จ หากมีคนดูบันทึกเขาสามารถเชื่อมต่อความพยายามเข้าสู่ระบบนี้โดยเฉพาะกับหนึ่งในความพยายามที่ประสบความสำเร็จของคุณ (เช่นผ่านที่อยู่ IP).

    แม้ว่าฉันไม่คิดว่ามันจะเกิดขึ้น แต่คุณสามารถเปลี่ยนแปลงได้เสมอ.

    ด้วยการโจมตีอย่างต่อเนื่องของข้อมูลที่เราอ่านและได้ยินเกี่ยวกับวันนี้มันจะดีกว่าที่จะเปลี่ยนรหัสผ่านสำหรับเว็บไซต์ที่เป็นปัญหา (และอื่น ๆ ด้วยรหัสผ่านเดียวกัน) เพื่อความอุ่นใจ มันจะดีกว่าปลอดภัยกว่าขออภัยเมื่อพูดถึงความปลอดภัยของบัญชีออนไลน์ของคุณ!

    มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.

    Sys Rq, Scroll Lock และ Pause Break Keys บนแป้นพิมพ์ของฉันคืออะไร
    เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
    อุปกรณ์สมาร์ทโฮมที่มีประโยชน์มากที่สุดคืออะไร?
    บทความต่อไป
    ขั้นตอนในการค้นหาที่อยู่ IP สาธารณะของคอมพิวเตอร์คืออะไร
    บทความก่อนหน้า
    แอพ Photoshop Express, Fix, Mix และ Sketch Mobile คืออะไร?