J'ai accidentellement saisi mon mot de passe dans le champ de connexion. Est-il toujours sécurisé?

75

Je regardais mon clavier et saisissais mon mot de passe parce que je pensais avoir déjà saisi mon identifiant. J'ai appuyé sur Enter, puis quand il a demandé le mot de passe, j'ai appuyé sur Ctrl+ c.

Devrais-je prendre des mesures de précaution pour m'assurer que le mot de passe n'est pas stocké quelque part en texte brut ou dois-je changer le mot de passe?

C'était également sur un tty sur le serveur Ubuntu 16.04 LTS.

hermancain
la source
10
Votre mot de passe va être dans le fichier journal et vous devriez le modifier pour ne pas l'inclure, mais même après l'avoir supprimé de votre fichier journal, je vous suggérerais de changer votre mot de passe au cas où.
John Militer
1
duplicate on security se: security.stackexchange.com/questions/101172/…
stanri
4
Une autre bonne raison d’utiliser les clés publiques SSH + à partir d’un PC séparé et de conserver l’écran de la console et le clavier en cas d’urgence uniquement.
RedGrittyBrick
@stacey que Q sert à se connecter à un site (probablement distant) contrôlé par d'autres; c'est pour un système local. Il y a un certain chevauchement mais ce n'est pas la même chose.
dave_thompson_085
2
Je n'ai pas encore de système Ubuntu 16.04 pour le tester. Mais suivre exactement les mêmes étapes sur une installation de bureau Ubuntu 14.04 ne consigne pas le nom d'utilisateur ni le mot de passe. Vous semblez avoir appuyé sur ctrl-c au bon moment pour éviter que votre mot de passe ne parvienne à aucun fichier journal.
Kasperd

Réponses:

101

Le problème est de savoir si votre mot de passe est enregistré dans le journal d'authentification.

Si vous vous connectez à une console de texte sous Linux et que vous avez appuyé sur Ctrl+C à l'invite du mot de passe, aucune entrée de journal n'est générée. Au moins, cela est vrai pour Ubuntu 14.04 ou Debian Jessie avec SysVinit, et probablement pour d’autres distributions Linux; Je n'ai pas vérifié si c'était toujours le cas sur un système avec Systemd. Appuyer sur Ctrl+ met fin Cau loginprocessus avant qu'il ne génère une entrée de journal. Alors tu es en sécurité .

D'autre part, si vous avez réellement fait une tentative de connexion, ce qui arrive si vous appuyez sur Enterou Ctrl+ Dà l'invite de mot de passe, le nom d' utilisateur que vous avez entré apparaît dans le texte brut dans les journaux d'authentification. Tous les échecs de connexion sont enregistrés. l'entrée de journal contient le nom du compte, mais n'inclut jamais rien au sujet du mot de passe (juste le fait que le mot de passe était incorrect).

Vous pouvez vérifier en consultant les journaux d'authentification. Sur Ubuntu 14.04 ou Debian Jessie avec SysVinit, les journaux d’authentification sont présents /var/log/auth.log.

S'il s'agit d'une machine sous votre contrôle exclusif, et si elle ne se connecte pas à distance, et si le fichier journal n'a pas encore été sauvegardé, et si vous voulez et pouvez modifier le fichier journal sans rien casser, modifiez le journal. fichier pour supprimer le mot de passe.

Si votre mot de passe est enregistré dans les journaux du système, vous devez le considérer comme compromis et vous devez le changer. Les journaux peuvent fuir pour toutes sortes de raisons: sauvegardes, demandes d'assistance… Même si vous êtes le seul utilisateur de cette machine, ne le prenez pas.

Note: Je n'ai pas vérifié si Ubuntu 16.04 fonctionnait différemment. Cette réponse peut ne pas être généralisable à toutes les variantes d'Unix et certainement pas à toutes les méthodes de connexion. Par exemple, OpenSSH enregistre le nom d'utilisateur même si vous appuyez sur Ctrl+ Cà l'invite du mot de passe (avant que l'invite du mot de passe ne s'affiche, en fait).

Gilles, arrête de faire le mal
la source
13
Dans ce dernier cas, vous devriez également le changer partout où vous l'avez réutilisé.
gronostaj
2
Euh, corrigez-moi si je me trompe, mais généralement, les seules personnes qui verront ces journaux sont celles qui pourraient déjà avoir accès à vos données si elles le voulaient. Et si ils voient leur mot de passe? Quel est le problème?
Mehrdad
4
Les journaux d'authentification @Mehrdad sont normalement réservés aux administrateurs, true. Mais il y a une différence entre faire confiance à quelqu'un avec la possibilité d'installer un enregistreur de frappe et lui faire confiance avec mes mots de passe. Il est également possible qu'une sauvegarde fuie, ou que je partage les journaux avec une autre personne pour faciliter le dépannage, etc. Les risques de fuite d'une entrée de journal sont trop élevés pour être ignorés.
Gilles, arrête d'être méchant.
1
Si cette réponse est correcte, il s’agit d’une régression par rapport à Ubuntu 14.04. Suivre les étapes mentionnées sur Ubuntu 14.04 ne consigne pas le nom d'utilisateur ni le mot de passe, car la connexion a été interrompue en appuyant sur ctrl-c avant que ces informations aient été enregistrées.
Kasperd
2
@kasperd Post comme réponse.
wizzwizz4
7

Dans votre cas, vous êtes en sécurité - vous avez entré un mot de passe et vous l'avez effacé. Un mot de passe saisi à l'invite de connexion suivi d'un mot de passe incorrect sera considéré comme une authentification ayant échoué et est partiellement enregistré pour se btmpconnecter. Pour la ttyconsole, c'est bien.

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

Le mot de passe "accidentellement" tapé a été enregistré comme UNKNOWN, donc tout va bien ici. Cependant, les authentifications ayant échoué sur l'écran de connexion de l'interface graphique ne montrent pas les entrées de connexion ayant échoué.

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
hellowor :1           :1               Mon Apr 25 22:17 - 22:17  (00:00)    
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

Y at-il quelque chose de bon à ce sujet? Bien . . . L’attaquant devrait d’abord avoir accès à votre système, et plus encore; il / elle devrait également avoir un accès root pour pouvoir lire le btmpjournal. Ce qui signifie également pour un ordinateur à utilisateur unique - cela équivaut à avoir votre mot de passe déjà volé, de sorte que l'entrée est de toute façon inutile pour l'attaquant s'il connaît votre mot de passe. Vous pouvez déjà en déduire que le mot de passe dans l'entrée n'a été que partiellement enregistré, mais cela donne un avantage assez raisonnable à un attaquant. Il n'y a donc rien de bon à ce sujet.

Devriez-vous changer le mot de passe? Probablement, juste pour être sûr à 100%. D'un autre côté, un attaquant devrait avoir accès à votre btmpjournal, ce qui revient au même /etc/shadowqu'y avoir accès ; il n'y a donc aucun avantage réel.

Note latérale : Toute la sortie de mon Ubuntu 14.04

Sergiy Kolodyazhnyy
la source
Il est également vrai que ce fichier texte de plan afficherait le mot de passe dans le fichier journal si quelqu'un devait démarrer un OS actif sur le même ordinateur. Si vous utilisez ce même mot de passe ailleurs, cela pourrait poser un risque de sécurité distinct. Je recommande de les effacer du fichier journal et d'utiliser un programme qui écrit sur l'espace libéré en fonction de l'importance de ce mot de passe pour vous
Joe
@ Joe de quels journaux spécifiques nous parlons? /var/log/auth.log? Oui, la réutilisation des mots de passe est un problème courant, je le sais très bien, donc je n'en réutilise pas.
Commentaires
1
Juste un côté pense aux autres aussi quand ils le consultent car je connais tellement de gens qui ont 1 mot de passe pour tout.
Joe
Aussi devrait plus écrire le fichier btmp aussi
Joe
alors, pour conclure .. simplement sudo rm /var/log/btmp?
phil294