사용자 이름 필드에 비밀번호를 제출했을 때의 보안 영향은 무엇입니까?

자주 방문하는 웹 사이트 (https 물론)의 사용자 이름 텍스트 상자에 암호를 입력하고 내가하는 일을 알아 차리기 전에 enter 키를 누르십시오.

내 비밀번호가 이제 로그 파일의 일반 텍스트로되어 있습니까? 교활한 장난 꾸러기에 실수를 어떻게 악용 할 수 있습니까? 실제로 발생할 가능성에 관계없이 실제 보안 영향을 이해하도록 도와주세요.

security passwords

— 요원
소스

왜이 질문이 "의견 기반"으로 표시되어 있는지 이해할 수 없습니다. 사실에 의해 뒷받침 될 수있는 (그리고 최소한 허용 된 답변이 주어짐) "보안 적 의미는 무엇인가"를 분명히 묻습니다.

— Calimo

이에 온 주제입니다 security.stackexchange.com

— kinokijuf

@kinokijuf : 물론 나는 그것을 먼저 고려했습니다 Information Security Stack Exchange is a question and answer site for Information security professionals. 나는 하나가 아니며,이 질문에 답할 사람이 필요하지 않다고 생각합니다. 나는 모든 사용자가 할 수있는 실수를 저질렀으며 보안 전문가가 아닌 사용자에게 답이 흥미 롭습니다. 그러나 나는 확실히 틀렸다.

— agentnega

맞습니다. "너무 광범위합니다"

— 임의

답변:

사이트의 인증 시스템 구성에 따라 다릅니다. 예보다 시도를 기록하도록 설정된 경우 이제 로그 (텍스트 파일 또는 데이터베이스)에 일반 텍스트로 표시됩니다. 다음과 같이 보일 수 있습니다.

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

또는 유사합니다.

일반 사용자는 암호에 액세스 할 수 없다는 것이 여전히 사실입니다. 로그 파일에 액세스 할 수있는 사용자에게만 해당됩니다.

그것은 어떤 결과를 내포합니까?

서버가 손상된 경우 이론적으로 해커는 일반 텍스트 암호를 갖습니다.
사이트 관리자는 정기적으로 로그 파일을 통해 실수로 비밀번호를 찾을 수 있습니다. 그는이 레코드의 IP 주소를 찾을 수 없기 때문에 이론적으로 사용자 이름과 전자 메일이 무엇인지 찾을 수 있습니다 (데이터베이스에 액세스 할 수 있기 때문).

따라서 다른 자원에 동일한 이메일 / 사용자 이름 / 암호가있는 경우 즉시 변경하십시오. 비밀번호를 찾을 가능성이 있기 때문입니다. 로그는 몇 년 동안 서버에 남아있을 수 있습니다.

— VL-80
소스

시도한 지역 기록이있을 수 있습니다. 많은 (대부분의) 브라우저에는 기본적으로 사용되는 자동 완성 기능 이 있으며 사용자 이름, 전자 메일 주소, 전화 번호 등의 특정 양식 항목을 편의를 위해 저장합니다. 로그인 페이지를 다시 열면 사용자 이름 필드를 클릭하고 아래쪽 화살표 키를 누르면 사용자 이름과 함께 비밀번호가 표시 될 수 있습니다. 그러나 목록에서 삭제할 수는 있지만 절대적으로 안전하려면 위에서 제안한대로 비밀번호를 변경하는 것이 가장 좋습니다.

— gm2

당신이 말했듯이, webaplications는 실패한 로그인 시도의 로그를 유지하는 경향이 있습니다. 누군가 로그를 살펴 보는 경우이 특정 로그인 시도를 다른 성공적인 시도 (예 : IP 주소)를 통해 연결할 수 있습니다.

나는 이것이 일어날 가능성이 없다고 생각하지만, 항상 그것을 바꿀 수 있습니다.

— 도미니카 크
소스