암호가 사용자 이름 필드에 제출 된 경우 보안 의미는 무엇입니까?

바쁜 하루를 보내고 서두르는 시간에 즐겨 찾는 웹 사이트에 로그인 한 다음 실수로 사용자 이름 텍스트 상자에 비밀번호를 제출하십시오. 너는 걱정하고 그 웹 사이트를 위해 너의 암호를 바꿔야 하는가, 또는 정당한 근거가없는 공포?

오늘의 질문 및 답변 세션은 Q & A 웹 사이트의 커뮤니티 중심 그룹 인 Stack Exchange의 하위 부문 인 수퍼 유저의 도움으로 이루어졌습니다..

질문

수퍼 유저 리더 agentnega는 사용자 이름 텍스트 상자에 비밀번호를 입력 할 때 실수로 제출하는 위험을 알고 싶어합니다.

자주 방문한 웹 사이트의 사용자 이름 텍스트 상자에 비밀번호를 입력했다고 가정 해 보겠습니다.물론 https) 내가 무엇을하고 있는지 알아 차리기 전에 들어가십시오..

내 비밀번호가 이제 로그 파일에 일반 텍스트로 저장되어 있습니까? 어떻게 내 실수가 교활한 착취 자에 의해 착취 될 수 있 었는가? 실제 발생 가능성에 관계없이 실제 보안 의미를 이해할 수있게 도와주세요..

이것이 실제적으로 걱정해야 할 것이거나, 이것을 단순한 실수로보고 잊어 버릴 수 있습니까??

대답

수퍼 유저 기고 가인 Nikolay와 GregD가 우리에게 답을줍니다. 우선, 니콜라이 :

웹 사이트의 인증 시스템 구성에 따라 다릅니다. 모든 시도를 기록하도록 설정 한 경우 예, 이제 로그에 기록됩니다 (텍스트 파일 또는 데이터베이스) 일반 텍스트로. 다음과 같이 보일 수 있습니다.

2014 년 2 월 12 일 12:00:00 AM : 로그인 시도가 실패했습니다 (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);

또는 이와 유사한.

로그 파일에 액세스 할 수있는 사용자 만 암호를 일반 사용자가 액세스 할 수 없다는 것은 여전히 ​​사실입니다.

그것이 어떤 결과를 의미하는지?

• 서버가 해킹당한 경우 이론적으로 해커가 일반 텍스트 암호를 사용하게됩니다.
• 웹 사이트의 관리자는 정기적으로 로그 파일을 검토하여 실수로 비밀번호를 찾을 수 있습니다. 그는이 기록이 나온 IP 주소를 찾을 수 있습니다. 따라서 그는 이론적으로 사용자 이름과 전자 메일이 무엇인지 알아낼 수 있습니다 (사용자가 데이터베이스에 액세스 할 수 있기 때문에)..

따라서 다른 웹 사이트에서 동일한 전자 메일 / 사용자 이름 / 암호를 사용하는 경우 즉시 변경하십시오. 암호가 발견 될 가능성이 언제나 있기 때문입니다. 로그는 수년간 서버에 남아있을 수 있습니다..

그레그 (GregD)의 답이 뒤따 랐습니다.

앞에서 말했듯이 웹 응용 프로그램은 실패한 로그인 시도에 대한 로그를 유지하는 경향이 있습니다. 누군가 로그를 조사한다면,이 특정 로그인 시도를 성공적인 시도 중 하나와 연결할 수 있습니다 (즉 IP 주소를 통해).

비록 이것이 일어날 가능성이 있다고 생각하지 않지만, 당신은 항상 그것을 바꿀 수 있습니다..

요즘에 대해 읽고 듣는 데이터 유출 사건이 끊임없이 제기되면서 해당 웹 사이트의 비밀번호를 변경하는 것이 좋습니다 (및 동일한 암호를 가진 다른 사용자) 마음의 평화를위한. 온라인 계정의 보안에 관해서는 유감스러운 것보다 안전해야합니다.!

설명에 추가 할 것이 있습니까? 의견에서 소리가 나지. 다른 기술에 정통한 Stack Exchange 사용자의 답변을 더 읽고 싶습니까? 전체 토론 스레드를 여기에서 확인하십시오..