Anasayfa » nasıl » Kullanıcı Adı Alanında Bir Şifre Girilirse Güvenlik Uygulamaları Nelerdir?

    Kullanıcı Adı Alanında Bir Şifre Girilirse Güvenlik Uygulamaları Nelerdir?

    Kötü bir gün geçirdiğinizi ve sık kullandığınız bir web sitesine giriş yapmak için acele ettiğinizi varsayalım, ardından yanlışlıkla kullanıcı adı metin kutusuna şifrenizi girin. Endişelenmeli ve bu web sitesi için şifrenizi mi değiştirdiniz, yoksa sadece temelsiz bir korku mu??

    Bugünün Soru ve Cevap oturumu bize topluluk tarafından yönlendirilen bir soru-cevap web sitesi grubu olan Stack Exchange'in bir alt birimi olan SuperUser'ın izniyle geliyor..

    Soru

    SuperUser okuyucu agentnega, bir kullanıcının şifresini kullanıcı adı metin kutusuna girmenin ve kazara göndermenin tehlikelerinin ne olduğunu bilmek ister:

    Şifremi sık ziyaret edilen bir web sitesinin kullanıcı adı metin kutusuna yazdığımı varsayalım (elbette https) ve ne yaptığımı fark etmeden önce enter'a basın.

    Şifremi şimdi bir yerde bir günlük dosyasında düz metin oturuyor mu? Hatamı kurnaz bir yaramaz tarafından nasıl sömürülebilir? Gerçekleşme ihtimaline bakılmaksızın, gerçek güvenlik etkilerini anlamama yardımcı olun.

    Bu gerçekten endişelenecek bir şey midir, yoksa basit bir hata olarak düşünebilir ve onu unutabilir misiniz??

    Cevap

    Süper Kullanıcı katkıları Nikolay ve GregD bize cevap veriyor. İlk önce, Nikolay:

    Web sitesi için kimlik doğrulama sisteminin yapılandırmasına bağlıdır. Herhangi bir girişimi günlüğe kaydetme ayarlandıysa, evet, şimdi günlüğe kaydedilir (metin dosyası veya veritabanı) düz metin olarak. Bu gibi görünebilir:

    12-Feb-2014 12:00:00 AM: Başarısız oturum açma denemesi kullanıcısı (YOUR_PASSSORD_HERE) (YOUR_IP_HERE);

    veya benzeri.

    Bir şifrenin normal kullanıcılar için, sadece günlük dosyalarına erişimi olanlar için erişilebilir olmayacağı hala doğrudur..

    Hangi sonuçları ima ediyor?

    • Eğer sunucu hiç bir zaman tehlikeye atılsaydı, o zaman teorik olarak, bilgisayar korsanı düz metin şifrenizi kullanırdı.
    • Web sitesinin yöneticisi günlük dosyalarına düzenli olarak gidebilir ve yanlışlıkla şifrenizi bulabilir. Daha sonra bu kaydın geldiği IP adresini bulabilir ve böylece kullanıcı adınızın ve e-postanızın ne olduğunu teorik olarak öğrenebilir (çünkü veritabanına erişimi vardır).

    Bu nedenle, diğer web sitelerinde aynı e-posta / kullanıcı adı / şifreyi kullanıyorsanız, hemen değiştirin. Çünkü her zaman şifrenizin bulunma şansı vardır. Günlükler yıllarca sunucularda kalabilir.

    GregD'nin cevabını takip etti:

    Dediğiniz gibi, web uygulamaları başarısız oturum açma girişimlerinin kayıtlarını tutma eğilimindedir. Birisi günlüklere bakacak olsaydı, bu belirli giriş denemesini başarılı girişimlerinizden birine bağlayabilirdi (yani IP adresi üzerinden).

    Bunun olacağını düşünmeme rağmen, her zaman emin olabilirsin.

    Bu günlerde okuduğumuz ve duyduğumuz sürekli veri ihlalleri nedeniyle söz konusu web sitesinin şifresini değiştirmek daha iyi olur (ve aynı şifre ile başkaları) İçiniz rahat olsun diye. Çevrimiçi hesaplarınızın güvenliği söz konusu olduğunda, üzgün olmaktan daha güvenli olmak daha iyidir!


    Açıklamaya eklemek için bir şey var mı? Yorumlarda ses kesiliyor. Diğer teknoloji meraklısı Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Burada tüm tartışma konusuna göz atın.