उपयोगकर्ता नाम फ़ील्ड में पासवर्ड जमा करने के सुरक्षा निहितार्थ क्या हैं?

मान लीजिए कि मैंने बार-बार देखी जाने वाली वेबसाइट (निश्चित रूप से https) के उपयोगकर्ता नाम टेक्स्टबॉक्स में अपना पासवर्ड टाइप किया है और इससे पहले कि मैंने देखा कि क्या कर रहा था, मैंने दर्ज किया।

क्या मेरा पासवर्ड अब कहीं लॉग फ़ाइल में प्लेनटेक्स्ट में बैठा है? एक चालाक बदमाश द्वारा मेरी गलती का फायदा कैसे उठाया जा सकता है? वास्तव में होने की संभावना की परवाह किए बिना तथ्यात्मक सुरक्षा निहितार्थ को समझने में मेरी मदद करें।

security passwords

— agentnega
स्रोत

मुझे समझ नहीं आता कि इस प्रश्न को "राय-आधारित" के रूप में क्यों चिह्नित किया गया है। यह स्पष्ट रूप से पूछता है कि "सुरक्षा के निहितार्थ क्या हैं" जो (और हो सकता है, कम से कम स्वीकृत उत्तर दिए गए हों) तथ्यों द्वारा समर्थित।

— कैलिमो

यह on-topic on security.stackexchange.com

— kinokijuf

@kinokijuf: निश्चित रूप से मैंने पहले उस पर विचार किया था Information Security Stack Exchange is a question and answer site for Information security professionals। मैं एक नहीं हूं, और मुझे नहीं लगता कि हमें इस प्रश्न का उत्तर देने के लिए एक की आवश्यकता है। मैंने एक गलती की जो कोई भी उपयोगकर्ता कर सकता है, और मुझे लगता है कि उत्तर उपयोगकर्ताओं के लिए दिलचस्प हैं, सुरक्षा पेशेवर नहीं। हालांकि मैं निश्चित रूप से गलत हो सकता है।

— Agentnega

आप सही कह रहे हैं, इसे "बहुत व्यापक" के रूप में बंद किया जाना चाहिए

— यादृच्छिक :

जवाबों:

यह साइट के प्रमाणीकरण प्रणाली के विन्यास पर निर्भर करता है। यदि यह किसी भी प्रयास को लॉग करने के लिए सेटअप किया गया था - हाँ की तुलना में, यह अब सादे पाठ में लॉग (पाठ फ़ाइल या डेटाबेस) में है। ऐसा लग सकता है:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

या इसी के समान।

यह अभी भी सही है कि पासवर्ड नियमित उपयोगकर्ताओं के लिए सुलभ नहीं होगा। केवल उन लोगों के लिए जिनके पास लॉग फ़ाइलों तक पहुंच है।

इसका क्या परिणाम निकलता है?

यदि सर्वर से समझौता किया जाएगा - तो हैकर की तुलना में सैद्धांतिक रूप से आपका सादा पाठ पासवर्ड होगा।
साइट के व्यवस्थापक लॉग फ़ाइलों के माध्यम से नियमित रूप से जा सकते हैं और गलती से अपना पासवर्ड पा सकते हैं। वह यह जान सकता है कि यह रिकॉर्ड किस आईपी पते से आया है और इस प्रकार वह सैद्धांतिक रूप से यह जान सकता है कि आपका उपयोगकर्ता नाम और ई-मेल क्या है (क्योंकि डेटाबेस में उसकी पहुंच है)।

इसलिए, यदि आपके पास अन्य संसाधनों पर समान ईमेल / उपयोगकर्ता नाम / पासवर्ड है - तो इसे तुरंत बदल दें। क्योंकि संभावना है कि आपका पासवर्ड मिल जाएगा। लॉग वर्षों तक सर्वर पर बने रह सकते हैं।

— वीएल-80
स्रोत

आपके प्रयास का स्थानीय रिकॉर्ड भी हो सकता है। कई (सबसे?) ब्राउज़रों में एक ऑटोफिल सुविधा होती है जो डिफ़ॉल्ट रूप से सक्षम होती है और आपकी सुविधा के लिए कुछ प्रपत्र प्रविष्टियों - उपयोगकर्ता नाम, ईमेल पता, फोन # आदि को सहेजती है। यदि आप फिर से लॉगिन पेज खोलते हैं, तो उपयोगकर्ता नाम फ़ील्ड पर क्लिक करें और नीचे तीर कुंजी दबाएं जिसे आप अपना पासवर्ड उपयोगकर्ता नाम (ओं) के साथ सूचीबद्ध देख सकते हैं। आप इसे सूची से हटा सकते हैं, हालांकि, बिल्कुल सुरक्षित होने के लिए अपने पासवर्ड को बदलना सबसे अच्छा होगा जैसा कि ऊपर बताया गया है।

— gm2

जैसा कि आपने कहा था, वेबप्लिकेशंस असुरक्षित लॉग्स प्रयासों के लॉग रखने के लिए करते हैं। यदि कोई व्यक्ति लॉग के माध्यम से देख रहा है, तो वह इस विशेष लॉगिन प्रयास को आपके दूसरे, सफल प्रयास (यानी आईपी एड्रेस के माध्यम से) से जोड़ सकता है।

हालांकि मुझे नहीं लगता कि ऐसा होने की संभावना है, लेकिन आप हमेशा इसे बदल सकते हैं।

— dominiczaq
स्रोत