如果在使用者名稱欄位中提交密碼,會帶來什麼安全隱患?
假設你有一個糟糕的一天,急於登入到一個喜愛的網站,然後意外地提交您的密碼在使用者名稱文字框代替。你應該擔心並更改你的網站密碼,還是隻是毫無根據的恐懼?
今天的問答環節是由SuperUser提供的,SuperUser是Stack Exchange的一個分支,是一個由社群驅動的問答網站分組。
問題
超級使用者閱讀器agentnega想知道在使用者名稱文字框中鍵入密碼並意外提交密碼會有什麼危險:
Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.
Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implicati*** regardless of the likelihood of it actually happening.
這真的是一個值得擔心的問題嗎,或者你能把它看作一個簡單的錯誤而忘記它嗎?
答案
超級使用者貢獻者Nikolay和GregD為我們提供了答案。首先,尼古拉:
It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:
12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);
or similar.
It is still true that a password will not be accessible for regular users, only for those who have access to log files.
What c***equences does it imply?
- If the server was ever compromised, then theoretically, the hacker would have your plain text password.
- The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).
So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.
接著是格雷格的回答:
Just as you said, web applicati*** tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).
Though I do not think this is likely to happen, you can always change it be sure.
隨著這些天來我們讀到和聽到的大量資料洩露,最好是更改有關網站的密碼(以及任何其他具有相同密碼的網站),以使您安心。當涉及到你的線上帳戶的安全性時,安全總比抱歉好!
有什麼要補充的解釋嗎?在評論中發出聲音。想從其他精通技術的Stack Exchange使用者那裡瞭解更多答案嗎?在這裡檢視完整的討論主題。
- 發表於 2021-04-11 11:27
- 閱讀 ( 26 )
- 分類:網際網路
你可能感興趣的文章
在windows 10上自動登入使用者帳戶的3種方法
... 在本指南中,我們將介紹三種在Windows10上自動登入使用者帳戶的方法。 ...
如何重置你的蘋果id密碼:6個簡單的方法
... 訪問iForgot網站並輸入您的Apple ID使用者名稱。然後按照簡單的提示重置密碼。因為你沒有這些額外的安全措施,你可以透過電子郵件或安全問題重置你的密碼,如果你仍然有這些設定。 ...
如何透過智慧自動化提高業務效率
... 如果你想知道如何設定這些東西來更好地自動化你的業務,繼續閱讀。 ...
如何更改易趣使用者名稱
還在搖你2000年註冊時建立的易趣使用者名稱嗎?就像你的第一個電子郵件地址一樣,早期的易趣使用者名稱也是很多人的遺憾。如果你是一個賣家,不專業的使用者名稱尤其不合適。 ...
遷移資料時如何在lastpass和1password之間切換
... 在瀏覽器中登入1密碼帳戶時,單擊右上角的使用者名稱,然後選擇匯入。 從出現的服務列表中,選擇LastPass。 如果1Password中有多個vault,請選擇要匯入資料的vault。 在可以...
如何用googleauthenticator在windows10上生成2fa程式碼
... 展開Advanced並在username欄位中輸入您的Google帳戶使用者名稱。 從“型別”下拉選單中選擇“基於時間”,然後單擊“確定”。 要生成2FA程式碼,只需在瀏覽器中單擊Authenticator圖示,它將顯...
如何更改android裝置的名稱
... 大多數Android**使用裝置名作為藍芽名稱。如果您的裝置不是這樣,您需要為藍芽指定一個單獨的名稱。 ...
要在macos登入螢幕上隱藏使用者嗎?下面是方法
是否要在macOS登入螢幕上隱藏使用者帳戶?有簡單的方法可以做到這一點,你甚至不需要第三方應用程式來做到這一點。 ...
什麼是csrf攻擊?如何防止它們?
... 弱或差的網站安全實踐和使用者路徑上的疏忽是成功的CSRF攻擊的一些常見原因。 ...
如何透過ftp從mac快速傳送和接收檔案
...這是您之前啟用遠端登入時看到的IP。 在使用者名稱欄位中輸入您的帳戶使用者名稱。這是你的Mac使用者帳戶。 在密碼欄位中鍵入Mac使用者帳戶的密碼。 在埠欄位中輸入22,然後單擊...
