Quelles sont les implications pour la sécurité d'avoir soumis un mot de passe dans le champ du nom d'utilisateur?

19

Disons que j'ai tapé mon mot de passe dans la zone de texte du nom d'utilisateur d'un site Web fréquemment visité (https bien sûr) et appuyez sur Entrée avant de remarquer ce que je faisais.

Mon mot de passe se trouve-t-il maintenant en clair dans un fichier journal quelque part? Comment mon erreur pourrait-elle être exploitée par un mécréant malin? Aidez-moi à comprendre les implications de sécurité factuelles, quelle que soit la probabilité que cela se produise réellement.

security passwords agentnega
la source
4
Je ne comprends pas pourquoi cette question est signalée comme "fondée sur l'opinion". Il demande clairement "quelles sont les implications pour la sécurité" qui peuvent être (et sont, au moins la réponse acceptée) étayées par des faits.
Calimo
C'est sur le sujet sur security.stackexchange.com
kinokijuf
@kinokijuf: Certes, j'ai d'abord considéré cela Information Security Stack Exchange is a question and answer site for Information security professionals. Je n'en suis pas un, et je ne pense pas que nous en ayons besoin pour répondre à cette question. J'ai fait une erreur que n'importe quel utilisateur pourrait faire, et je pense que les réponses sont intéressantes pour les utilisateurs, pas pour les professionnels de la sécurité. Mais je peux certainement me tromper.
agentnega
Vous avez raison, il aurait dû être fermé car "trop ​​large"
aléatoire

Réponses:

18

Cela dépend de la configuration du système d'authentification du site. S'il a été configuré pour consigner toutes les tentatives - alors oui, il est maintenant dans le journal (fichier texte ou base de données) en texte brut. Cela pourrait ressembler à ça:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

ou similaire.

Il est toujours vrai que le mot de passe ne sera pas accessible aux utilisateurs réguliers. Uniquement pour ceux qui ont accès aux fichiers journaux.

Quelles conséquences cela implique?

  • Si le serveur est compromis - alors le pirate aura théoriquement votre mot de passe en texte brut.
  • L'administrateur du site peut régulièrement parcourir les fichiers journaux et trouver accidentellement votre mot de passe. Il peut alors trouver de quelle adresse IP provient cet enregistrement et il peut donc théoriquement trouver quel est votre nom d'utilisateur et votre e-mail (car il a accès à la base de données).

Donc, si vous avez le même e-mail / nom d'utilisateur / mot de passe sur d'autres ressources - changez-le immédiatement. Parce qu'il y a des chances que votre mot de passe soit trouvé. Les journaux peuvent rester sur les serveurs pendant des années.

VL-80
la source
8
Il peut également y avoir un enregistrement local de votre tentative. De nombreux navigateurs (la plupart?) Ont une fonction de remplissage automatique qui est activée par défaut et enregistre certaines entrées de formulaire - nom d'utilisateur, adresse e-mail, numéro de téléphone, etc. - pour votre commodité. Si vous ouvrez à nouveau la page de connexion, cliquez sur le champ du nom d'utilisateur et appuyez sur la flèche vers le bas pour voir votre mot de passe répertorié avec le ou les noms d'utilisateur. Vous pouvez le supprimer de la liste, cependant, pour être absolument sûr, il serait préférable de changer votre mot de passe comme suggéré ci-dessus.
gm2
5

Comme vous l'avez dit, les applications Web ont tendance à conserver des journaux des tentatives de connexion infructueuses. Si quelqu'un consulte les journaux, il peut connecter cette tentative de connexion particulière à votre autre tentative réussie (c'est-à-dire via l'adresse IP).

Bien que je ne pense pas que cela risque de se produire, vous pouvez toujours le changer, assurez-vous.

dominiczaq
la source