Beranda » bagaimana » Apa Implikasi Keamanan jika Kata Sandi Diserahkan di Bidang Nama Pengguna?

    Apa Implikasi Keamanan jika Kata Sandi Diserahkan di Bidang Nama Pengguna?

    Misalkan Anda mengalami hari yang buruk dan terburu-buru untuk masuk ke situs web favorit, lalu kirimkan kata sandi Anda secara tidak sengaja di kotak teks nama pengguna. Jika Anda khawatir dan mengubah kata sandi Anda untuk situs web itu, atau hanya ketakutan yang tidak berdasar?

    Sesi Tanya Jawab hari ini datang kepada kami berkat SuperUser-subdivisi Stack Exchange, pengelompokan situs web Q&A berbasis komunitas.

    Pertanyaan

    SuperUser reader agentnega ingin tahu apa bahaya mengetikkan kata sandi seseorang ke dalam kotak teks nama pengguna dan secara tidak sengaja mengirimkannya:

    Katakanlah saya mengetik kata sandi saya ke kotak teks nama pengguna situs web yang sering dikunjungi (https tentu saja) dan tekan enter sebelum saya perhatikan apa yang saya lakukan.

    Apakah kata sandi saya sekarang duduk di teks biasa di file log di suatu tempat? Bagaimana kesalahan saya bisa dieksploitasi oleh penjahat licik? Bantu saya memahami implikasi keamanan yang sebenarnya terlepas dari kemungkinan itu benar-benar terjadi.

    Apakah ini benar-benar sesuatu yang perlu dikhawatirkan, atau dapatkah Anda melihat ini sebagai kesalahan sederhana dan melupakannya?

    Jawabannya

    Kontributor SuperUser, Nikolay dan GregD, memiliki jawaban untuk kami. Pertama, Nikolay:

    Itu tergantung pada konfigurasi sistem otentikasi untuk situs web. Jika sudah diatur untuk mencatat upaya apa pun, maka ya, sekarang sudah ada dalam log (file teks atau basis data) dalam teks biasa. Itu bisa terlihat seperti ini:

    12-Feb-2014 12:00:00 AM: Pengguna percobaan masuk yang gagal (YOUR_PASSSORD_HERE) dari (YOUR_IP_HERE);

    atau serupa.

    Memang benar bahwa kata sandi tidak akan dapat diakses untuk pengguna biasa, hanya untuk mereka yang memiliki akses ke file log.

    Apa konsekuensinya?

    • Jika server pernah dikompromikan, maka secara teoritis, peretas akan memiliki kata sandi teks biasa Anda.
    • Administrator situs web dapat secara rutin memeriksa file log dan secara tidak sengaja menemukan kata sandi Anda. Ia kemudian dapat menemukan alamat IP dari mana catatan ini berasal, dan dengan demikian ia secara teoritis dapat mengetahui apa nama pengguna dan email Anda (karena ia memiliki akses ke database).

    Jadi, jika Anda menggunakan email / nama pengguna / kata sandi yang sama di situs web lain, segera ubah itu. Karena selalu ada kemungkinan kata sandi Anda akan ditemukan. Log dapat tetap ada di server selama bertahun-tahun.

    Diikuti oleh jawaban dari GregD:

    Seperti yang Anda katakan, aplikasi web cenderung menyimpan log dari upaya login yang gagal. Jika seseorang melihat log, ia bisa menghubungkan upaya login ini dengan salah satu upaya sukses Anda (yaitu melalui alamat IP).

    Meskipun saya pikir ini tidak mungkin terjadi, Anda selalu dapat mengubahnya.

    Dengan rentetan pelanggaran data yang terus-menerus kita baca dan dengar hari ini, akan lebih baik untuk mengubah kata sandi untuk situs web yang dimaksud (dan yang lainnya dengan kata sandi yang sama) untuk ketenangan pikiran. Lebih baik aman daripada menyesal ketika datang ke keamanan akun online Anda!


    Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.