자주 방문하는 웹 사이트 (https 물론)의 사용자 이름 텍스트 상자에 암호를 입력하고 내가하는 일을 알아 차리기 전에 enter 키를 누르십시오.
내 비밀번호가 이제 로그 파일의 일반 텍스트로되어 있습니까? 교활한 장난 꾸러기에 실수를 어떻게 악용 할 수 있습니까? 실제로 발생할 가능성에 관계없이 실제 보안 영향을 이해하도록 도와주세요.
답변
사이트의 인증 시스템 구성에 따라 다릅니다. 예보다 시도를 기록하도록 설정된 경우 이제 로그 (텍스트 파일 또는 데이터베이스)에 일반 텍스트로 표시됩니다. 다음과 같이 보일 수 있습니다.
12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);
또는 유사합니다.
일반 사용자는 암호에 액세스 할 수 없다는 것이 여전히 사실입니다. 로그 파일에 액세스 할 수있는 사용자에게만 해당됩니다.
그것은 어떤 결과를 내포합니까?
- 서버가 손상된 경우 이론적으로 해커는 일반 텍스트 암호를 갖습니다.
- 사이트 관리자는 정기적으로 로그 파일을 통해 실수로 비밀번호를 찾을 수 있습니다. 그는이 레코드의 IP 주소를 찾을 수 없기 때문에 이론적으로 사용자 이름과 전자 메일이 무엇인지 찾을 수 있습니다 (데이터베이스에 액세스 할 수 있기 때문).
따라서 다른 자원에 동일한 이메일 / 사용자 이름 / 암호가있는 경우 즉시 변경하십시오. 비밀번호를 찾을 가능성이 있기 때문입니다. 로그는 몇 년 동안 서버에 남아있을 수 있습니다.
답변
당신이 말했듯이, webaplications는 실패한 로그인 시도의 로그를 유지하는 경향이 있습니다. 누군가 로그를 살펴 보는 경우이 특정 로그인 시도를 다른 성공적인 시도 (예 : IP 주소)를 통해 연결할 수 있습니다.
나는 이것이 일어날 가능성이 없다고 생각하지만, 항상 그것을 바꿀 수 있습니다.