Quelles sont les implications pour la sécurité si un mot de passe est soumis dans le champ Nom d'utilisateur?

Supposons que vous passez une mauvaise journée et que vous êtes pressé de vous connecter à un site Web favori, puis envoyez accidentellement votre mot de passe dans la zone de texte Nom d'utilisateur. Si vous êtes inquiet et changez votre mot de passe pour ce site, ou s'agit-il simplement d'une peur sans fondement??

La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

La question

Superne utilisateur, agentnega, veut savoir quels sont les dangers de taper son mot de passe dans la zone de texte du nom d'utilisateur et de le soumettre par inadvertance:

Supposons que j'ai saisi mon mot de passe dans la zone de saisie du nom d'utilisateur d'un site Web fréquemment visité (https bien sur) et appuyez sur Entrée avant de remarquer ce que je faisais.

Mon mot de passe est-il maintenant écrit en clair dans un fichier journal quelque part? Comment mon erreur pourrait-elle être exploitée par un scélérat rusé? Aidez-moi à comprendre les implications réelles sur la sécurité, peu importe la probabilité que cela se produise.

Est-ce que cela pourrait réellement vous inquiéter ou pourriez-vous considérer cela comme une simple erreur et l'oublier??

La réponse

Les contributeurs du super-utilisateur Nikolay et GregD ont la solution pour nous. Tout d'abord, Nikolay:

Cela dépend de la configuration du système d'authentification pour le site Web. S'il était configuré pour enregistrer les tentatives, alors oui, il est maintenant dans le journal (fichier texte ou base de données) en clair. Cela pourrait ressembler à ceci:

12 févr. 2014 00:00:00: tentative de connexion infructueuse utilisateur (YOUR_PASSSORD_HERE) de (YOUR_IP_HERE);

ou similaire.

Il est toujours vrai qu'un mot de passe ne sera pas accessible aux utilisateurs réguliers, mais uniquement à ceux qui ont accès aux fichiers journaux..

Quelles conséquences cela implique-t-il?

• Si jamais le serveur était compromis, alors théoriquement, le pirate aurait votre mot de passe en texte brut.
• L'administrateur du site Web pourrait consulter régulièrement les fichiers journaux et retrouver accidentellement votre mot de passe. Il peut ensuite trouver l'adresse IP d'où provient cet enregistrement et ainsi théoriquement savoir ce que sont votre nom d'utilisateur et votre adresse électronique (car il a accès à la base de données)..

Donc, si vous utilisez le même courrier électronique / nom d'utilisateur / mot de passe sur d'autres sites Web, changez-le immédiatement. Parce qu'il y a toujours une chance que votre mot de passe soit découvert. Les journaux peuvent rester sur les serveurs pendant des années.

Suivi de la réponse de GregD:

Comme vous l'avez dit, les applications Web ont tendance à conserver des journaux des tentatives de connexion infructueuses. Si quelqu'un devait parcourir les journaux, il pourrait connecter cette tentative de connexion à l'une de vos tentatives réussies (c'est-à-dire via l'adresse IP).

Bien que je ne pense pas que cela risque de se produire, vous pouvez toujours le changer, assurez-vous.

Avec le barrage constant de violations de données que nous lisons et dont nous entendons parler ces jours-ci, il serait préférable de changer le mot de passe du site Web en question (et tous les autres avec le même mot de passe) pour la tranquillité d'esprit. Mieux vaut prévenir que guérir lorsqu'il s'agit de la sécurité de vos comptes en ligne.!

Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.