ユーザー名フィールドにパスワードを送信すると、セキュリティにどのような影響がありますか？

頻繁にアクセスするWebサイト（https）のユーザー名テキストボックスにパスワードを入力し、自分が何をしているかに気付く前にEnterキーを押したとします。

私のパスワードは、どこかのログファイルにプレーンテキストで保存されていますか？どうして私の間違いはHowな悪党に悪用されるのでしょうか？実際に発生する可能性に関係なく、実際のセキュリティへの影響を理解してください。

security passwords

この質問が「意見ベース」としてフラグ付けされている理由がわかりません。事実によって裏付けられる可能性のある「少なくとも受け入れられる答えが与えられる」「セキュリティの意味は何か」を明確に尋ねます。

— カリモ

これは、上に-トピックですsecurity.stackexchange.com

— kinokijuf

@kinokijuf：確かに最初にそれを考えましたInformation Security Stack Exchange is a question and answer site for Information security professionals。私は1人ではありません。この質問に答えるために1人は必要ないと思います。どんなユーザーでも犯す可能性のあるミスを犯しましたが、その答えはセキュリティ専門家ではなくユーザーにとって興味深いものだと思います。しかし、私は確かに間違っている可能性があります。

— agentnega

あなたは正しい、それは「広すぎる」として閉じられるべきだった

— ランダム

回答:

サイトの認証システムの構成に依存します。試行をログに記録するように設定されていた場合-はいよりも、ログ（テキストファイルまたはデータベース）にプレーンテキストで記録されます。次のようになります。

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

または類似。

通常のユーザーがパスワードにアクセスできないことは事実です。ログファイルにアクセスできるユーザーのみ。

それが意味する結果は何ですか？

サーバーが危険にさらされる場合-ハッカーは理論的にはプレーンテキストのパスワードを持ちます。
サイトの管理者が定期的にログファイルを調べて、誤ってパスワードを見つける可能性があります。彼は、このレコードがどのIPアドレスからのものであるかを見つけることができます。したがって、理論的には、ユーザー名と電子メールが何であるかを見つけることができます（データベースにアクセスできるため）。

したがって、他のリソースで同じメール/ユーザー名/パスワードを持っている場合-すぐに変更するよりも。パスワードが見つかる可能性があるためです。ログは何年もサーバーに残ることがあります。

— VL-80
ソース

あなたの試みのローカル記録もあるかもしれません。多くの（ほとんどの？）ブラウザには、デフォルトで有効になっている自動入力機能があり、ユーザー名、メールアドレス、電話番号などの特定のフォームエントリが保存されています。ログインページを再度開いた場合は、ユーザー名フィールドをクリックして下矢印キーを押すと、パスワードがユーザー名とともに表示されます。リストから削除することもできますが、絶対に安全であるために、上記のようにパスワードを変更するのが最善です。

— gm2

あなたが言ったように、ウェブアプリケーションは、失敗したログイン試行のログを保持する傾向があります。誰かがログを調べている場合、この特定のログイン試行を別の成功した試行と接続できます（IPアドレス経由）。

これは起こりそうにないと思いますが、いつでも変更できます。

— ドミニカック
ソース