Welche Sicherheitsrisiken ergeben sich aus der Übermittlung des Kennworts im Feld "Benutzername"?

19

Nehmen wir an, ich habe mein Passwort in das Textfeld für den Benutzernamen einer häufig besuchten Website (natürlich https) eingegeben und die Eingabetaste gedrückt, bevor mir aufgefallen ist, was ich tat.

Befindet sich mein Passwort jetzt irgendwo im Klartext in einer Protokolldatei? Wie könnte mein Fehler von einem listigen Schurken ausgenutzt werden? Helfen Sie mir, die tatsächlichen Auswirkungen auf die Sicherheit zu verstehen, unabhängig davon, mit welcher Wahrscheinlichkeit dies tatsächlich eintritt.

security passwords agentnega
quelle
4
Ich verstehe nicht, warum diese Frage als "meinungsbasiert" gekennzeichnet ist. Es wird eindeutig gefragt, welche Auswirkungen auf die Sicherheit zu erwarten sind, die durch Fakten gestützt werden können (und zumindest die akzeptierte Antwort erhalten).
Calimo
Dies ist ein
aktuelles
@kinokijuf: Sicherlich habe ich das aber zuerst bedacht Information Security Stack Exchange is a question and answer site for Information security professionals. Ich bin keiner und ich glaube nicht, dass wir einen brauchen, um diese Frage zu beantworten. Ich habe einen Fehler gemacht, den jeder Benutzer machen kann, und ich denke, die Antworten sind für Benutzer interessant, nicht für Sicherheitsexperten. Allerdings könnte ich mich sicher irren.
Agentnega
Du hast recht, es hätte als "zu breit" geschlossen werden sollen
zufällig

Antworten:

18

Dies hängt von der Konfiguration des Authentifizierungssystems der Site ab. Wenn es eingerichtet wurde, um alle Versuche zu protokollieren - dann ist es jetzt im Protokoll (Textdatei oder Datenbank) in Klartext. Es könnte so aussehen:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

o.ä.

Es ist immer noch richtig, dass normale Benutzer nicht auf das Kennwort zugreifen können. Nur für diejenigen, die Zugriff auf Protokolldateien haben.

Welche Konsequenzen hat das?

  • Wenn der Server kompromittiert würde, hätte Hacker theoretisch Ihr Klartext-Passwort.
  • Der Administrator der Site könnte routinemäßig die Protokolldateien durchsuchen und versehentlich Ihr Kennwort finden. Er kann dann herausfinden, von welcher IP-Adresse dieser Datensatz stammt, und somit theoretisch Ihren Benutzernamen und Ihre E-Mail-Adresse ermitteln (da er Zugriff auf die Datenbank hat).

Wenn Sie also dieselbe E-Mail-Adresse / denselben Benutzernamen / dasselbe Passwort für andere Ressourcen haben, ändern Sie diese sofort. Denn es besteht die Möglichkeit, dass Ihr Passwort gefunden wird. Protokolle können jahrelang auf Servern verbleiben.

VL-80
quelle
8
Möglicherweise gibt es auch eine lokale Aufzeichnung Ihres Versuchs. Viele (die meisten?) Browser verfügen über eine AutoFill- Funktion, die standardmäßig aktiviert ist und bestimmte Formulareinträge - Benutzername, E-Mail-Adresse, Telefonnummer usw. - speichert. Wenn Sie die Anmeldeseite erneut öffnen, klicken Sie auf das Feld Benutzername und drücken Sie die Nach-unten-Taste. Möglicherweise wird Ihr Kennwort zusammen mit den Benutzernamen aufgelistet. Sie können es jedoch aus Sicherheitsgründen aus der Liste löschen. Ändern Sie Ihr Passwort am besten wie oben angegeben.
gm2
5

Wie Sie bereits sagten, zeichnen Webanwendungen in der Regel erfolglose Anmeldeversuche auf. Wenn jemand in den Protokollen nachschaut, kann er diesen bestimmten Anmeldeversuch mit Ihrem anderen erfolgreichen Versuch (dh über die IP-Adresse) verknüpfen.

Ich glaube zwar nicht, dass dies wahrscheinlich passieren wird, aber Sie können es auf jeden Fall jederzeit ändern.

dominiczaq
quelle