Ich habe versehentlich mein Passwort in das Login-Feld eingegeben. Ist es immer noch sicher?

75

Ich schaute auf meine Tastatur und tippte mein Passwort ein, weil ich dachte, ich hätte bereits meinen Anmeldenamen eingegeben. Ich drückte Enterund als es nach dem Passwort fragte, drückte ich Ctrl+ c.

Sollte ich Vorsichtsmaßnahmen treffen, um sicherzustellen, dass das Passwort nicht im Klartext gespeichert wird, oder sollte ich das Passwort ändern?

Auch dies war auf einem tty auf Ubuntu Server 16.04 LTS.

Hermancain
quelle
10
Ihr Kennwort wird in der Protokolldatei enthalten sein, und Sie sollten es so bearbeiten, dass es Ihr Kennwort nicht enthält. Selbst wenn Sie es aus der Protokolldatei entfernen, wird empfohlen, dass Sie Ihr Kennwort dennoch für alle Fälle ändern.
John Militer
1
Duplikat auf Sicherheit se: security.stackexchange.com/questions/101172/…
Stanri
4
Ein weiterer guter Grund, SSH + Public-Keys von einem separaten PC zu verwenden und das Konsolendisplay und die Tastatur nur für Notfälle aufzubewahren.
RedGrittyBrick
@stacey dass Q für die Anmeldung an einer (vermutlich entfernten) Site gedacht ist, die von anderen kontrolliert wird; Dies ist für ein lokales System. Es gibt einige Überlappungen, aber es ist nicht dasselbe.
Dave_thompson_085
2
Ich habe noch kein Ubuntu 16.04-System, um dies zu testen. Wenn Sie jedoch genau die gleichen Schritte bei einer Ubuntu 14.04-Desktop-Installation ausführen, werden der Benutzername und das Kennwort nicht protokolliert. Sie haben anscheinend im richtigen Moment Strg-C gedrückt, um zu verhindern, dass Ihr Kennwort in Protokolldateien übernommen wird.
Kasperd

Antworten:

101

Die Sorge ist, ob Ihr Passwort im Authentifizierungsprotokoll vermerkt ist.

Wenn Sie sich an einer Textkonsole unter Linux anmelden und an der Kennworteingabeaufforderung + drückenCtrlC , wird kein Protokolleintrag generiert. Zumindest gilt dies für Ubuntu 14.04 oder Debian Jessie mit SysVinit und wahrscheinlich für andere Linux-Distributionen. Ich habe nicht geprüft, ob dies auf einem System mit Systemd immer noch der Fall ist. Durch Drücken von Ctrl+ wird Cder loginVorgang abgebrochen , bevor ein Protokolleintrag generiert wird. Also bist du in Sicherheit .

Wenn Sie jedoch tatsächlich einen Anmeldeversuch unternommen haben, was passiert, wenn Sie an der Passwortabfrage Enteroder Ctrl+ gedrückt haben D, wird der eingegebene Benutzername im Klartext in den Authentifizierungsprotokollen angezeigt. Alle Anmeldefehler werden protokolliert. Der Protokolleintrag enthält den Kontonamen, enthält jedoch niemals Informationen zum Kennwort (nur die Tatsache, dass das Kennwort falsch war).

Sie können dies überprüfen, indem Sie die Authentifizierungsprotokolle überprüfen. Unter Ubuntu 14.04 oder Debian Jessie mit SysVinit befinden sich die Authentifizierungsprotokolle in /var/log/auth.log.

Wenn dies ein Computer ist, der Ihrer ausschließlichen Kontrolle unterliegt und nicht remote protokolliert wird und die Protokolldatei noch nicht gesichert wurde und Sie bereit und in der Lage sind, die Protokolldatei zu bearbeiten, ohne etwas zu beschädigen, dann bearbeiten Sie das Protokoll Datei, um das Passwort zu entfernen.

Wenn Ihr Kennwort in den Systemprotokollen aufgezeichnet ist, sollten Sie es als gefährdet betrachten und es ändern. Protokolle können aus den unterschiedlichsten Gründen auslaufen: Backups, Anfragen nach Unterstützung ... Auch wenn Sie der einzige Benutzer auf diesem Computer sind, riskieren Sie es nicht.

Hinweis: Ich habe nicht geprüft, ob Ubuntu 16.04 anders funktioniert. Diese Antwort ist möglicherweise nicht für alle Unix-Varianten verallgemeinerbar und ist sicherlich nicht für alle Anmeldemethoden verallgemeinerbar. Zum Beispiel protokolliert OpenSSH den Benutzernamen, selbst wenn Sie an der Passwort-Eingabeaufforderung Ctrl+ drücken C(bevor tatsächlich die Passwort-Eingabeaufforderung angezeigt wird).

Gilles
quelle
13
Im letzteren Fall sollten Sie es auch überall dort ändern, wo Sie es wiederverwendet haben.
Gronostaj
2
Äh, korrigieren Sie mich, wenn ich falsch liege, aber im Allgemeinen sehen diese Protokolle nur diejenigen, die bereits Zugriff auf Ihre Daten haben könnten, wenn sie dies wünschen. Was ist, wenn sie ihr Passwort sehen? Was ist die große Sache?
Mehrdad
4
@Mehrdad-Authentifizierungsprotokolle sind normalerweise Administratoren vorbehalten. Es gibt jedoch einen Unterschied, ob Sie jemandem vertrauen, der einen Keylogger installieren kann, oder ob Sie meinen Passwörtern vertrauen. Es ist auch möglich, dass ein Backup ausläuft oder dass ich Protokolle mit jemandem teile, um bei der Fehlerbehebung zu helfen. Das Risiko, dass ein Protokolleintrag ausläuft, ist zu hoch, um es zu ignorieren.
Gilles
1
Wenn diese Antwort richtig ist, ist das eine Regression im Vergleich zu Ubuntu 14.04. Das Befolgen der genannten Schritte unter Ubuntu 14.04 protokolliert weder Benutzername noch Passwort, da die Anmeldung durch Drücken von Strg-C unterbrochen wurde, bevor diese Informationen protokolliert worden wären.
Kasperd
2
@kasperd Post als Antwort.
wizzwizz4
7

In Ihrem Fall sind Sie in Sicherheit - Sie haben ein Passwort eingegeben und es storniert. Ein in die Anmeldeaufforderung eingegebenes Kennwort, gefolgt von einem falschen Kennwort, wird als fehlgeschlagene Authentifizierung betrachtet und teilweise zur btmpProtokollierung aufgezeichnet . Für ttyKonsole ist das aber in Ordnung.

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

Das "versehentlich" eingegebene Passwort wurde als aufgezeichnet UNKNOWN, also alles gut hier. Die fehlgeschlagenen Authentifizierungen auf dem GUI-Anmeldebildschirm zeigen fehlgeschlagene Anmeldeeinträge jedoch nicht verschleiert an

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
hellowor :1           :1               Mon Apr 25 22:17 - 22:17  (00:00)    
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

Gibt es etwas Gutes daran? Gut . . Der Angreifer müsste in erster Linie Zugriff auf Ihr System haben, umso mehr - er müsste Root-Zugriff haben, um das btmpProtokoll lesen zu können . Das bedeutet auch für einen einzelnen Benutzercomputer - das entspricht dem Diebstahl Ihres Kennworts, sodass der Angreifer ohnehin keinen Zugriff darauf hat, wenn er Ihr Kennwort kennt. Das Passwort im Eintrag, das Sie bereits ableiten können, wurde nur teilweise aufgezeichnet, aber das ist für einen Angreifer ein ziemlicher Vorteil, sodass dieser Teil nichts Gutes hat

Sollten Sie das Passwort ändern? Wahrscheinlich, nur um 100% sicher zu sein. Auf der anderen Seite müsste ein Angreifer Zugriff auf Ihr btmpProtokoll haben, was dem Zugriff auf dasselbe entspricht /etc/shadow, sodass es keinen wirklichen Vorteil bietet.

Randnotiz : Alle Ausgaben von meinem Ubuntu 14.04

Sergiy Kolodyazhnyy
quelle
Es ist auch richtig, dass diese ebene Textdatei das Kennwort in der Protokolldatei anzeigt, wenn jemand ein Live-Betriebssystem auf demselben Computer booten würde. Wenn Sie dasselbe Kennwort an einer anderen Stelle verwenden, kann dies ein separates Sicherheitsrisiko darstellen. Ich würde empfehlen, sie aus der Protokolldatei zu löschen und ein Programm zu verwenden, das den freigegebenen Speicherplatz überschreibt, je nachdem, wie wichtig dieses Kennwort für Sie ist
Joe
@ Joe über welche spezifischen Protokolle sprechen wir? /var/log/auth.log? Ja, die Wiederverwendung von Passwörtern ist ein weit verbreitetes Problem. Ich bin mir dessen durchaus bewusst, daher verwende ich keine erneut.
Sergiy Kolodyazhnyy
1
Nur ein Nebengedanke für andere auch, wenn sie das nachschlagen, da ich so viele Leute kenne, die 1 Passwort für alles haben.
Joe
Sollte auch btmp-Datei überschreiben
Joe
also zum schluss .. einfach sudo rm /var/log/btmp?
phil294