¿Cuáles son las implicaciones de seguridad si se envía una contraseña en el campo Nombre de usuario?

Supongamos que tiene un mal día y tiene prisa por iniciar sesión en un sitio web favorito, luego envíe accidentalmente su contraseña en el cuadro de texto del nombre de usuario. ¿Debería preocuparse y cambiar su contraseña para ese sitio web, o es simplemente un miedo sin fundamento??

La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..

La pregunta

Supernser reader agentnega quiere saber cuáles son los peligros de escribir la contraseña en el cuadro de texto del nombre de usuario y enviarlo accidentalmente:

Digamos que escribí mi contraseña en el cuadro de texto de nombre de usuario de un sitio web visitado con frecuencia (https por supuesto) y pulsa enter antes de que me diera cuenta de lo que estaba haciendo.

¿Mi contraseña ahora está en texto sin formato en un archivo de registro en algún lugar? ¿Cómo podría mi error ser explotado por un malvado astuto? Ayúdame a entender las implicaciones reales de seguridad, independientemente de la probabilidad de que suceda realmente.

¿Sería realmente algo de qué preocuparse, o podría ver esto como un simple error y olvidarlo??

La respuesta

Los colaboradores de SuperUser Nikolay y GregD tienen la respuesta para nosotros. En primer lugar, Nikolay:

Depende de la configuración del sistema de autenticación del sitio web. Si se configuró para registrar cualquier intento, entonces sí, ahora está en el registro (archivo de texto o base de datos) en texto plano. Podría verse así:

12-Feb-2014 12:00:00 AM: Usuario de intento de inicio de sesión fallido (YOUR_PASSSORD_HERE) de (YOUR_IP_HERE);

o similar.

Todavía es cierto que una contraseña no será accesible para los usuarios normales, solo para aquellos que tienen acceso a los archivos de registro.

¿Qué consecuencias implica??

• Si el servidor estuvo comprometido, teóricamente, el pirata informático tendría su contraseña de texto simple.
• El administrador del sitio web podría revisar los archivos de registro y encontrar accidentalmente su contraseña. Luego puede encontrar la dirección IP de la que proviene este registro y, por lo tanto, teóricamente, puede averiguar cuál es su nombre de usuario y correo electrónico (porque tiene acceso a la base de datos)..

Por lo tanto, si utiliza el mismo correo electrónico / nombre de usuario / contraseña en otros sitios web, cámbielo inmediatamente. Porque siempre existe la posibilidad de que se descubra su contraseña. Los registros pueden permanecer en los servidores durante años.

Seguido por la respuesta de GregD:

Tal como ha dicho, las aplicaciones web tienden a mantener registros de intentos de inicio de sesión fallidos. Si alguien revisara los registros, podría conectar este intento de inicio de sesión en particular con uno de sus intentos exitosos (es decir, a través de la dirección IP).

Aunque no creo que esto suceda, siempre puedes cambiarlo, estar seguro.

Con el constante aluvión de violaciones de datos que leemos y escuchamos en estos días, sería mejor cambiar la contraseña del sitio web en cuestión (y cualquier otro con la misma contraseña) para paz mental. Es mejor prevenir que lamentar la seguridad de sus cuentas en línea!

¿Tienes algo que agregar a la explicación? Apaga el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.