Misalkan Anda mengalami hari yang buruk dan terburu-buru untuk masuk ke situs web favorit, maka secara tidak sengaja kirimkan kata sandi Anda di kotak teks nama pengguna sebagai gantinya. Haruskah Anda khawatir dan mengubah kata sandi untuk situs web itu, atau apakah itu hanya rasa takut yang tidak berdasar?
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Pembaca SuperUser agentnega ingin tahu apa bahaya mengetik kata sandi seseorang ke dalam kotak teks nama pengguna dan tanpa sengaja mengirimkannya:
Katakanlah saya mengetik kata sandi saya ke kotak teks nama pengguna dari situs web yang sering dikunjungi (https tentu saja) dan tekan enter sebelum saya menyadari apa yang sedang saya lakukan.
Apakah kata sandi saya sekarang berada dalam teks biasa di file log di suatu tempat? Bagaimana mungkin kesalahan saya dieksploitasi oleh penjahat licik? Bantu saya memahami implikasi keamanan yang sebenarnya terlepas dari kemungkinan itu benar-benar terjadi.
Apakah ini benar-benar menjadi sesuatu yang harus dikhawatirkan, atau bisakah Anda melihat ini sebagai kesalahan sederhana dan melupakannya?
Kontributor Superuser, Nikolay dan GregD memiliki jawabannya untuk kami. Pertama, Nikolay:
Itu tergantung pada konfigurasi sistem otentikasi untuk situs web. Jika sudah diatur untuk mencatat upaya apa pun, maka ya, sekarang ada di log (file teks atau basis data) dalam teks biasa. Itu bisa terlihat seperti ini:
12-Feb-2014 12:00:00 AM: Pengguna upaya masuk yang tidak berhasil (YOUR_PASSSORD_HERE) dari (YOUR_IP_HERE);
atau serupa.
Masih benar bahwa kata sandi tidak akan dapat diakses oleh pengguna biasa, hanya bagi mereka yang memiliki akses ke file log.
Apa akibatnya?
- Jika server pernah dikompromikan, maka secara teoritis, peretas akan memiliki kata sandi teks biasa Anda.
- Administrator situs web dapat secara rutin memeriksa file log dan secara tidak sengaja menemukan kata sandi Anda. Dia kemudian dapat menemukan alamat IP dari catatan ini, dan dengan demikian dia secara teoritis dapat mengetahui apa nama pengguna dan e-mail Anda (karena ia memiliki akses ke database).
Jadi, jika Anda menggunakan e-mail / nama pengguna / kata sandi yang sama di situs web lain, segera ubah. Karena selalu ada kemungkinan bahwa kata sandi Anda akan ditemukan. Log dapat tetap berada di server selama bertahun-tahun.
Diikuti oleh jawaban dari GregD:
Seperti yang Anda katakan, aplikasi web cenderung menyimpan log dari upaya login yang gagal. Jika seseorang melihat melalui log, dia dapat menghubungkan upaya login tertentu ini dengan salah satu upaya sukses Anda (mis. melalui alamat IP).
Meskipun saya tidak berpikir ini mungkin terjadi, Anda selalu dapat mengubahnya menjadi yakin.
Dengan rentetan pelanggaran data konstan yang kita baca dan dengar tentang hari-hari ini, akan lebih baik untuk mengubah kata sandi untuk situs web yang bersangkutan (dan yang lain dengan kata sandi yang sama) untuk ketenangan pikiran. Lebih baik aman daripada menyesal ketika menyangkut keamanan akun daring Anda!
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
