Accidentalmente escribí mi contraseña en el campo de inicio de sesión, ¿sigue siendo segura?

75

Estaba mirando mi teclado y escribí mi contraseña porque pensé que ya había escrito mi nombre de usuario. Presioné Enter, luego, cuando me pidió la contraseña, presioné Ctrl+ c.

¿Debo tomar alguna medida de precaución para asegurarme de que la contraseña no esté almacenada en texto plano en algún lugar o debo cambiar la contraseña?

También esto estaba en un tty en ubuntu server 16.04 LTS.

hermancain
fuente
10
Su contraseña estará en el archivo de registro, y debe editarla para que no incluya su contraseña, pero incluso después de eliminarla de su archivo de registro, le sugiero que cambie su contraseña de todos modos por si acaso.
John Militer
1
duplicado en seguridad se: security.stackexchange.com/questions/101172/…
stanri
44
Otra buena razón para usar las claves públicas SSH + desde una PC separada y mantener la pantalla y el teclado de la consola solo para emergencias.
RedGrittyBrick
@stacey que Q es para iniciar sesión en un sitio (presumiblemente remoto) controlado por otros; Esto es para un sistema local. Hay cierta superposición pero no es lo mismo.
dave_thompson_085
2
Todavía no tengo ningún sistema Ubuntu 16.04 para probar esto. Pero seguir exactamente los mismos pasos en una instalación de escritorio Ubuntu 14.04 no registra el nombre de usuario o la contraseña. Parece que presionó ctrl-c en el momento adecuado para evitar que su contraseña llegue a los archivos de registro.
kasperd

Respuestas:

101

La preocupación es si su contraseña está registrada en el registro de autenticación.

Si está iniciando sesión en una consola de texto en Linux, y presionó Ctrl+C en la solicitud de contraseña, no se genera ninguna entrada de registro. Al menos, esto es cierto para Ubuntu 14.04 o Debian jessie con SysVinit, y probablemente para otras distribuciones de Linux; No he comprobado si este sigue siendo el caso en un sistema con Systemd. Presionar Ctrl+ Cmata el loginproceso antes de que genere cualquier entrada de registro. Entonces estás a salvo .

Por otro lado, si realmente hizo un intento de inicio de sesión, lo que sucede si presionó Entero Ctrl+ Den el indicador de contraseña, el nombre de usuario que ingresó aparece en texto sin formato en los registros de autenticación. Todas las fallas de inicio de sesión se registran; la entrada de registro contiene el nombre de la cuenta, pero nunca incluye nada sobre la contraseña (solo el hecho de que la contraseña era incorrecta).

Puede verificarlo revisando los registros de autenticación. En Ubuntu 14.04 o Debian jessie con SysVinit, los registros de autenticación están en /var/log/auth.log.

Si esta es una máquina bajo su control exclusivo, y no se registra de forma remota, y el archivo de registro aún no se ha respaldado, y usted está dispuesto y puede editar el archivo de registro sin romper nada, edite el registro archivo para eliminar la contraseña.

Si su contraseña está registrada en los registros del sistema, debe considerarla comprometida y debe cambiarla. Los registros pueden filtrarse por todo tipo de razones: copias de seguridad, solicitudes de asistencia ... Incluso si usted es el único usuario en esta máquina, no se arriesgue.

Nota: no he comprobado si Ubuntu 16.04 funciona de manera diferente. Esta respuesta puede no ser generalizable a todas las variantes de Unix y ciertamente no es generalizable a todos los métodos de inicio de sesión. Por ejemplo, OpenSSH registra el nombre de usuario incluso si presiona Ctrl+ Cen la solicitud de contraseña (de hecho, antes de mostrar la solicitud de contraseña).

Gilles 'SO- deja de ser malvado'
fuente
13
En este último caso, también debe cambiarlo en todas partes donde lo haya reutilizado.
gronostaj
2
Uh, corrígeme si me equivoco, pero en general las únicas personas que verán estos registros son las que ya podrían tener acceso a tus datos si lo quisieran. ¿Y qué si ven su contraseña? ¿Cual es el problema?
Mehrdad
44
Los registros de autenticación de @Mehrdad normalmente están reservados a los administradores, es cierto. Pero hay una diferencia entre confiar en alguien con la capacidad de instalar un keylogger y confiar en ellos con mis contraseñas. También es posible que se filtre una copia de seguridad, o que comparta registros con alguien para ayudar con la resolución de problemas, etc. Los riesgos de que se filtre una entrada de registro son demasiado altos para ignorarlos.
Gilles 'SO- deja de ser malvado'
1
Si esta respuesta es correcta, entonces es una regresión en comparación con Ubuntu 14.04. Seguir los pasos mencionados en Ubuntu 14.04 no registra el nombre de usuario o la contraseña, porque el inicio de sesión se interrumpió presionando ctrl-c antes de que esa información se hubiera registrado.
kasperd
2
@kasperd Publicar como respuesta.
wizzwizz4
7

En su caso, está a salvo: ha ingresado una contraseña y la ha cancelado. Una contraseña escrita en la solicitud de inicio de sesión seguida de una contraseña incorrecta se considerará una autenticación fallida y se registra parcialmente para btmpiniciar sesión. Para la ttyconsola, eso está bien.

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

La contraseña escrita "accidentalmente" se grabó como UNKNOWN, así que todo está bien aquí. Sin embargo, las autenticaciones fallidas en la pantalla de inicio de sesión de la GUI muestran entradas de inicio de sesión fallidas sin ofuscación

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
hellowor :1           :1               Mon Apr 25 22:17 - 22:17  (00:00)    
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

¿Hay algo bueno en eso? Bien . . El atacante tendría que tener acceso a su sistema en primer lugar, aún más: tendría que tener acceso de root para leer el btmpregistro. Lo que también significa para una computadora de un solo usuario: eso es equivalente a que le roben su contraseña, de modo que la entrada no sirve de nada al atacante de todos modos si conoce su contraseña. La contraseña en la entrada, que ya puede deducir, solo se ha registrado parcialmente, pero eso le da una ventaja bastante justa a un atacante, por lo que no hay nada bueno en esa parte

¿Deberías cambiar la contraseña? Probablemente, solo para estar 100% seguro. Por otro lado, un atacante tendría que tener acceso a su btmpregistro, que es lo mismo que tener acceso /etc/shadow, por lo que no tiene una ventaja real.

Nota al margen : toda la salida de mi Ubuntu 14.04

Sergiy Kolodyazhnyy
fuente
También es cierto que este archivo de texto plano mostraría la contraseña en el archivo de registro si alguien iniciara un sistema operativo en vivo en la misma máquina. Si usa esta misma contraseña en otro lugar, esto podría representar un riesgo de seguridad separado. Recomendaría eliminarlos del archivo de registro y usar un programa que sobreescriba el espacio liberado dependiendo de lo importante que sea esta contraseña para usted
Joe
@ Joe ¿De qué registros específicos estamos hablando? /var/log/auth.log? Sí, la reutilización de contraseñas es un problema común, lo conozco bien, así que no reutilizo ninguna.
Sergiy Kolodyazhnyy
1
Solo un lado pensado para los demás cuando buscan esto, ya que conozco a muchas personas que tienen 1 contraseña para todo.
Joe
También debería sobrescribir el archivo btmp también
Joe
entonces, para concluir ... simplemente sudo rm /var/log/btmp?
phil294