Was sind die Sicherheitsauswirkungen, wenn im Feld Benutzername ein Kennwort übermittelt wird?
Angenommen, Sie haben einen schlechten Tag und haben es eilig, sich bei einer bevorzugten Website anzumelden. Geben Sie dann versehentlich Ihr Kennwort in das Textfeld für den Benutzernamen ein. Sollten Sie sich Sorgen machen und Ihr Passwort für diese Website ändern, oder ist es nur grundlose Angst?
Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.
Die Frage
SuperUser reader agentnega möchte wissen, welche Gefahren bestehen können, wenn Sie das Passwort in das Textfeld für den Benutzernamen eingeben und es versehentlich absenden:
Angenommen, ich habe mein Passwort in das Textfeld "Benutzername" einer häufig besuchten Website eingegeben (https natürlich) und drückte die Eingabetaste, bevor ich merkte, was ich tat.
Sitzt mein Passwort jetzt irgendwo in Klartext in einer Protokolldatei? Wie könnte mein Fehler von einem schlauen Bösewicht ausgenutzt werden? Helfen Sie mir, die tatsächlichen Auswirkungen auf die Sicherheit zu verstehen, unabhängig von der Wahrscheinlichkeit, dass dies tatsächlich geschieht.
Wäre das eigentlich etwas, worüber man sich Sorgen machen müsste, oder könnte man das als einfachen Fehler betrachten und es vergessen?
Die Antwort
Die SuperUser-Mitwirkenden Nikolay und GregD haben die Antwort für uns. Erstens, Nikolay:
Dies hängt von der Konfiguration des Authentifizierungssystems für die Website ab. Wenn das Protokoll so eingerichtet wurde, dass alle Versuche protokolliert werden, ist es jetzt im Protokoll (Textdatei oder Datenbank) im Klartext. Es könnte so aussehen:
12-Feb-2014 12:00:00 AM: Benutzer des Login-Versuchs (YOUR_PASSSORD_HERE) von (YOUR_IP_HERE) ist fehlgeschlagen;
oder ähnliches.
Es ist immer noch wahr, dass ein Passwort nicht für normale Benutzer zugänglich ist, sondern nur für diejenigen, die Zugriff auf Protokolldateien haben.
Welche Konsequenzen hat das??
- Wenn der Server jemals gefährdet war, hätte der Hacker theoretisch Ihr Klartextkennwort.
- Der Administrator der Website könnte die Protokolldateien routinemäßig durchgehen und aus Versehen Ihr Kennwort finden. Er kann dann die IP-Adresse finden, aus der dieser Datensatz stammt, und er kann theoretisch herausfinden, wie Ihr Benutzername und Ihre E-Mail-Adresse lautet (weil er Zugriff auf die Datenbank hat)..
Wenn Sie also auf anderen Websites dieselbe E-Mail-Adresse / denselben Benutzernamen / dasselbe Kennwort verwenden, ändern Sie sie sofort. Weil immer die Möglichkeit besteht, dass Ihr Passwort herausgefunden wird. Protokolle können jahrelang auf Servern bleiben.
Gefolgt von der Antwort von GregD:
Wie Sie bereits gesagt haben, neigen Webanwendungen dazu, Protokolle fehlgeschlagener Anmeldeversuche zu protokollieren. Wenn jemand die Protokolle durchsehen würde, könnte er diesen Anmeldeversuch mit einem Ihrer erfolgreichen Versuche verbinden (über eine IP-Adresse).
Ich glaube nicht, dass dies wahrscheinlich passieren wird, aber Sie können es jederzeit ändern.
Angesichts der ständigen Flut von Verstößen gegen die Daten, die wir in diesen Tagen lesen und hören, ist es besser, das Passwort für die betreffende Website zu ändern (und alle anderen mit dem gleichen Passwort) Für Seelenfrieden. Es ist besser als sicher zu sein, wenn es um die Sicherheit Ihrer Online-Konten geht!
Haben Sie der Erklärung etwas hinzuzufügen? Sound off in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.