¿Cuáles son las implicaciones de seguridad de haber enviado una contraseña en el campo de nombre de usuario?

19

Digamos que escribí mi contraseña en el cuadro de texto del nombre de usuario de un sitio web visitado con frecuencia (https, por supuesto) y presioné enter antes de notar lo que estaba haciendo.

¿Mi contraseña ahora está en texto sin formato en un archivo de registro en alguna parte? ¿Cómo podría mi error ser explotado por un astuto malhechor? Ayúdame a comprender las implicaciones fácticas de seguridad, independientemente de la probabilidad de que realmente ocurra.

security passwords agentnega
fuente
44
No entiendo por qué esta pregunta se marca como "basada en la opinión". Claramente pregunta "¿Cuáles son las implicaciones de seguridad" que pueden estar respaldadas por hechos (y se le da, al menos, la respuesta aceptada)?
Calimo
Esto es sobre el tema en security.stackexchange.com
kinokijuf
@kinokijuf: Ciertamente, lo consideré primero, sin embargo Information Security Stack Exchange is a question and answer site for Information security professionals. No soy uno, y no creo que necesitemos uno para responder esta pregunta. Cometí un error que cualquier usuario podría cometer, y creo que las respuestas son interesantes para los usuarios, no para los profesionales de la seguridad. Sin embargo, ciertamente podría estar equivocado.
agentnega
Tienes razón, debería haberse cerrado como "demasiado amplio"
aleatorio

Respuestas:

18

Depende de la configuración del sistema de autenticación del sitio. Si se configuró para registrar cualquier intento, entonces sí, ahora está en el registro (archivo de texto o base de datos) en texto sin formato. Podría verse así:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

o similar.

Todavía es cierto que la contraseña no será accesible para usuarios normales Solo para quienes tienen acceso a los archivos de registro.

¿Qué consecuencias implica?

  • Si el servidor se vería comprometido, teóricamente, el hacker tendrá su contraseña de texto sin formato.
  • El administrador del sitio podría revisar los archivos de registro y encontrar su contraseña accidentalmente. Puede encontrar de qué dirección IP proviene este registro y, por lo tanto, teóricamente puede encontrar cuál es su nombre de usuario y correo electrónico (porque tiene acceso a la base de datos).

Entonces, si tiene el mismo correo electrónico / nombre de usuario / contraseña en otros recursos, cámbielo inmediatamente. Porque hay posibilidades de que se encuentre su contraseña. Los registros pueden permanecer en los servidores durante años.

VL-80
fuente
8
También puede haber un registro local de su intento. Muchos (¿la mayoría?) Navegadores tienen una función de Autocompletar que está habilitada de manera predeterminada y guarda ciertas entradas de formulario (nombre de usuario, dirección de correo electrónico, número de teléfono, etc.) para su conveniencia. Si vuelve a abrir la página de inicio de sesión, haga clic en el campo de nombre de usuario y presione la tecla de flecha hacia abajo para ver su contraseña junto con los nombres de usuario. Puede eliminarlo de la lista, sin embargo, para estar absolutamente seguro, lo mejor sería cambiar su contraseña como se sugirió anteriormente.
gm2
5

Tal como usted dijo, las aplicaciones web tienden a mantener registros de intentos de inicio de sesión fallidos. Si alguien está mirando a través de los registros, puede conectar este intento de inicio de sesión particular con su otro intento exitoso (es decir, a través de la dirección IP).

Aunque no creo que esto pueda suceder, siempre puedes cambiarlo, asegúrate.

dominiczaq
fuente