web-dev-qa-db-ja.com

ユーザー名フィールドに誤ってパスワードを入力した場合、心配する必要がありますか?

ユーザー名とパスワードの組み合わせを入力するときに、Tabキーを適切に押すことができない場合があります。これにより、ユーザー名 "myUsername $ ecretPa $$ Word"と空のパスワードが送信されます。私は常にこれを行った直後に自分のパスワードを変更しようとします。サイトを維持している誰かが失敗したログイン試行を記録している可能性があることを恐れています。誰か(セキュリティを意識した管理者であっても)が、試みられたユーザー名を有用かつ安全な方法でログに記録することを検討するのは理にかなっているようです。しかし、これが発生した場合、私のパスワードは、暗号化されていないログのどこかに、ユーザー名と一緒に保存されます。

これは合理的な懸念事項ですか?私は偏執的すぎるのですか?

30
loneboat

短い答えは、連結されたユーザー名とパスワードが暗号化されていないログに存在し、制限されたログよりも多くの人々がアクセスできる可能性が非常に高いということです。

あなたはパスワードを変更することに偏執的ではなく、これが起こったときにそれを変更するべきです。

31
schroeder

しかし、これが発生した場合、私のパスワードは、暗号化されていないログのどこかに、ユーザー名と一緒に保存されます。

これは合理的な懸念事項ですか?

はい

私は偏執的すぎるのですか?

状況によって異なります

パスワードが保存されることを心配している場合は、絶対にそうではありません。あなたのパスワードは、ほぼ確実に平文で保存されます。現実と現在の慣行を認識することは偏執狂ではありません。

漏えいしたパスワードが引き起こす可能性のある損傷を心配すること、つまりプロンプトのパスワード変更を心配することは別の問題です。そこで、あなたはmight少し偏執狂的です...しかし、繰り返しになりますが、全体的なパスワードポリシーと、通常アクセスしてパスワードを漏らしているサイトの種類によって異なります。

2つの緩和要因があります。

  1. ログファイルはほぼ確かに、管理者以外の誰にも表示されません(たとえあったとしても)。彼らはおそらく、すでになりすましあなた(つまり、パスワードを知らなくても、あなたとしてログインする)と、ウェブサイトoughtを保存していてもパスワードを盗むことの両方の手段を持っています。暗号化された形式で。また、それが実行したいサイトでない限り、管理者は実際にはかなり短い鎖を使っており、たとえば楽しみのためにログを閲覧するだけです。通常、ログの一部とアラートの理由を送信する第1レベルのフィルターがあります。これは主に、ログのチェックに費やす時間を削減するためです。失敗したログインが1つでも、低レベルのアラートがトリガーされることはありません。

  2. セキュリティ上の配慮から、超秘密のパスワードは複数のサイトで再利用されないことは間違いありません。だから、たとえそれが漏れたとしても、それは大きないたずらではありません。

パスワードが使用されているのと同じサイトでパスワードが漏洩することによる主な危険性は、 パスワードの再利用 が原因で、他のサイトへの洞察または直接アクセスが提供される可能性があることです。 hisサイトへのアクセスがすぐに追跡されるという認識だけで正直に保たれた管理者は、自分が管理していないサードパーティのサイトや彼が知らない場所に向かったと感じるかもしれません。

したがって、私がそのような管理者である場合、私のサイトのパスワードがloneboat3はおそらくloneboatloneboat0 使って loneboat9銀行サイト。

そしてあなたの場合、私はこの危険は無視できると思います。

とはいえ、パスワードが危険にさらされたと感じたらすぐにパスワードを変更することは、私が思うにis何があっても非常に良い習慣です。

15
LSerni