Quais são as implicações de segurança de ter enviado a senha no campo nome de usuário?

19

Digamos que digitei minha senha na caixa de texto de nome de usuário de um site visitado com frequência (https, é claro) e apertei enter antes que eu percebesse o que estava fazendo.

Minha senha agora está em texto simples em um arquivo de log em algum lugar? Como o meu erro pode ser explorado por um criminoso astuto? Ajude-me a entender as implicações de segurança factuais, independentemente da probabilidade de isso realmente acontecer.

security passwords agentnega
fonte
4
Não entendo por que essa pergunta é sinalizada como "baseada em opiniões". Ele pergunta claramente "Quais são as implicações de segurança" que podem ser (e é, dada pelo menos a resposta aceita) respaldadas por fatos.
Calimo 14/02
Este tópico está disponível no security.stackexchange.com
kinokijuf 14/02
@kinokijuf: Certamente eu considerei isso primeiro, no entanto Information Security Stack Exchange is a question and answer site for Information security professionals. Eu não sou um, e acho que não precisamos de um para responder a essa pergunta. Cometi um erro que qualquer usuário poderia cometer e acho que as respostas são interessantes para os usuários, não para os profissionais de segurança. No entanto, eu certamente poderia estar errado.
agentnega 14/02
Você está certo, deveria ter sido fechado como "muito amplo"
aleatoriamente

Respostas:

18

Depende da configuração do sistema de autenticação do site. Se foi configurado para registrar qualquer tentativa - que sim, agora está no log (arquivo de texto ou banco de dados) em texto sem formatação. Pode ser assim:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

ou similar.

Ainda é verdade que a senha não estará acessível para usuários regulares. Somente para quem tem acesso aos arquivos de log.

Que consequências isso implica?

  • Se o servidor estiver comprometido - o hacker, teoricamente, terá sua senha de texto sem formatação.
  • O administrador do site pode acessar os arquivos de log rotineiramente e encontrar sua senha acidentalmente. Ele pode encontrar o endereço IP desse registro e, portanto, teoricamente pode encontrar qual é o seu nome de usuário e email (porque ele tem acesso ao banco de dados).

Portanto, se você tiver o mesmo email / nome de usuário / senha em outros recursos - altere-o imediatamente. Porque há chances de que sua senha seja encontrada. Os logs podem permanecer nos servidores por anos.

VL-80
fonte
8
Também pode haver um registro local de sua tentativa. Muitos navegadores (a maioria?) Têm um recurso de preenchimento automático ativado por padrão e salva determinadas entradas de formulário - nome de usuário, endereço de email, número de telefone etc. - para sua conveniência. Se você abrir a página de login novamente, clique no campo nome de usuário e pressione a tecla de seta para baixo. Você poderá ver sua senha listada junto com os nomes de usuário. Você pode excluí-lo da lista, no entanto, para ser absolutamente seguro, seria melhor alterar sua senha conforme sugerido acima.
gm2
5

Assim como você disse, os aplicativos da Web tendem a manter registros de tentativas malsucedidas de logins. Se alguém estiver examinando os logs, ele poderá conectar esta tentativa de login específica à sua outra tentativa bem-sucedida (por exemplo, via endereço IP).

Embora eu não ache provável que isso aconteça, você sempre pode alterá-lo.

dominiczaq
fonte