यदि उपयोगकर्ता नाम फ़ील्ड में एक पासवर्ड सबमिट किया जाता है तो सुरक्षा निहितार्थ क्या हैं?
मान लीजिए कि आपका कोई बुरा दिन चल रहा है और किसी पसंदीदा वेबसाइट पर लॉग इन करने की जल्दी है, तो गलती से अपना पासवर्ड यूजरनेम टेक्स्ट बॉक्स में सबमिट करें। क्या आपको चिंतित होना चाहिए और उस वेबसाइट के लिए अपना पासवर्ड बदलना चाहिए, या यह केवल आधारहीन भय है?
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।.
प्रश्न
सुपरयूज़र रीडर एजेंटनेगा जानना चाहता है कि उपयोगकर्ता नाम टेक्स्ट बॉक्स में किसी का पासवर्ड टाइप करने और गलती से जमा करने के क्या खतरे हो सकते हैं:
मान लें कि मैंने बार-बार देखी गई वेबसाइट के उपयोगकर्ता नाम टेक्स्ट बॉक्स में अपना पासवर्ड टाइप किया है (निश्चित रूप से) और हिट दर्ज करने से पहले मैंने देखा कि मैं क्या कर रहा था.
क्या मेरा पासवर्ड अब लॉग फ़ाइल में सादे पाठ में कहीं बैठा है? एक चालाक बदमाश द्वारा मेरी गलती का फायदा कैसे उठाया जा सकता है? वास्तव में होने की संभावना की परवाह किए बिना वास्तविक सुरक्षा निहितार्थ को समझने में मेरी मदद करें.
क्या यह वास्तव में चिंतित होने वाली चीज होगी, या आप इसे एक साधारण गलती के रूप में देख सकते हैं और इसके बारे में भूल सकते हैं?
उत्तर
सुपरयूजर योगदानकर्ताओं निकोले और ग्रेग हमारे लिए जवाब है। सबसे पहले, निकोले:
यह वेबसाइट के लिए प्रमाणीकरण प्रणाली के विन्यास पर निर्भर करता है। यदि यह किसी भी प्रयास को लॉग करने के लिए सेटअप किया गया था, तो हाँ, यह अब लॉग में है (पाठ फ़ाइल या डेटाबेस) सादे पाठ में। यह इस तरह दिख सकता है:
12-Feb-2014 12:00:00 AM: असफल लॉगिन प्रयास उपयोगकर्ता (your_PASSSORD_HERE) (Your_IP_HERE);
या इसी के समान.
यह अभी भी सच है कि एक पासवर्ड नियमित उपयोगकर्ताओं के लिए सुलभ नहीं होगा, केवल उन लोगों के लिए जिनके पास लॉग फ़ाइलों तक पहुंच है.
इसका क्या परिणाम होता है?
- यदि सर्वर कभी समझौता किया गया था, तो सैद्धांतिक रूप से, हैकर के पास आपका सादा पाठ पासवर्ड होगा.
- वेबसाइट के प्रशासक नियमित रूप से लॉग फ़ाइलों के माध्यम से जा सकते हैं और गलती से अपना पासवर्ड पा सकते हैं। वह तब यह पता लगा सकता है कि यह रिकॉर्ड किस आईपी पते से आया है, और इस प्रकार वह सैद्धांतिक रूप से यह पता लगा सकता है कि आपके उपयोगकर्ता नाम और ई-मेल क्या हैं (क्योंकि उसके पास डेटाबेस तक पहुंच है).
इसलिए, यदि आप अन्य वेबसाइटों पर समान ई-मेल / उपयोगकर्ता नाम / पासवर्ड का उपयोग करते हैं, तो इसे तुरंत बदल दें। क्योंकि हमेशा एक मौका होता है कि आपका पासवर्ड पता चल जाएगा। लॉग वर्षों तक सर्वर पर बने रह सकते हैं.
ग्रेग से जवाब द्वारा पीछा किया:
जैसा कि आपने कहा, वेब एप्लिकेशन असफल लॉगिन प्रयासों के लॉग को रखने की प्रवृत्ति रखते हैं। यदि किसी को लॉग के माध्यम से देखना है, तो वह इस विशेष लॉगिन प्रयास को आपके सफल प्रयासों में से एक के साथ जोड़ सकता है (यानी आईपी एड्रेस के जरिए).
हालांकि मुझे नहीं लगता कि ऐसा होने की संभावना है, आप हमेशा इसे बदल सकते हैं सुनिश्चित करें.
इन दिनों डेटा उल्लंघनों के निरंतर बैराज के साथ हम पढ़ते हैं और सुनते हैं, प्रश्न में वेबसाइट के लिए पासवर्ड बदलना बेहतर होगा (और किसी भी अन्य पासवर्ड के साथ) मन की शांति के लिए। जब आपके ऑनलाइन खातों की सुरक्षा की बात आती है, तो क्षमा करना सुरक्षित होना बेहतर है!
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में विचार व्यक्त करो। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.
