Я случайно ввел свой пароль в поле входа в систему, он все еще безопасен?

75

Я смотрел на свою клавиатуру и вводил свой пароль, потому что думал, что уже набрал свое имя для входа. Я нажал Enter, затем, когда он спросил пароль, я нажал Ctrl+ c.

Должен ли я принять некоторые меры предосторожности, чтобы убедиться, что пароль где-то не хранится в виде простого текста, или мне следует сменить пароль?

Также это было на tty на сервере Ubuntu 16.04 LTS.

Херман Кейн
источник
10
Ваш пароль будет в файле журнала, и вы должны изменить его, чтобы он не включал ваш пароль, но даже после того, как вы удалите его из файла журнала, я бы посоветовал вам в любом случае изменить пароль на всякий случай.
Джон Милитер
1
дубликаты по безопасности se: security.stackexchange.com/questions/101172/…
stanri
4
Еще одна веская причина использовать SSH + публичные ключи с отдельного ПК и хранить дисплей консоли и клавиатуру только для экстренных случаев.
RedGrittyBrick
@stacey, что Q предназначен для входа на (предположительно удаленный) сайт, контролируемый другими; это для локальной системы. Есть некоторые совпадения, но это не то же самое.
dave_thompson_085
2
У меня пока нет ни одной системы Ubuntu 16.04, чтобы проверить это. Но выполнение точно таких же шагов при установке Ubuntu 14.04 для настольного компьютера не регистрирует имя пользователя или пароль. Похоже, вы нажали ctrl-c как раз в нужный момент, чтобы избежать попадания пароля в лог-файлы.
kasperd

Ответы:

101

Проблема заключается в том, записан ли ваш пароль в журнал аутентификации.

Если вы входите в систему на текстовой консоли под Linux и нажали Ctrl+C в приглашении ввода пароля, тогда запись в журнале не создается. По крайней мере, это верно для Ubuntu 14.04 или Debian jessie с SysVinit и, возможно, для других дистрибутивов Linux; Я не проверял, так ли это в системе с Systemd. Нажатие Ctrl+ Cубивает loginпроцесс, прежде чем он генерирует какую-либо запись в журнале. Так что вы в безопасности .

С другой стороны, если вы действительно предприняли попытку входа в систему, что происходит, если вы нажали Enterили Ctrl+ Dв приглашении ввода пароля, то введенное вами имя пользователя будет отображаться в виде простого текста в журналах аутентификации. Все ошибки входа регистрируются; запись журнала содержит имя учетной записи, но никогда не включает ничего о пароле (только тот факт, что пароль был неверным).

Вы можете проверить, просмотрев журналы аутентификации. В Ubuntu 14.04 или Debian jessie с SysVinit журналы аутентификации находятся в /var/log/auth.log.

Если эта машина находится под вашим исключительным контролем, и она не ведет удаленный вход в систему, и файл журнала еще не скопирован, и вы готовы и можете редактировать файл журнала, ничего не нарушая, то отредактируйте журнал файл для удаления пароля.

Если ваш пароль записан в журналах системы, вы должны считать его взломанным, и вам необходимо изменить его. Журналы могут протекать по разным причинам: резервные копии, запросы о помощи ... Даже если вы единственный пользователь на этом компьютере, не рискуйте.

Примечание: я не проверял, работает ли Ubuntu 16.04 иначе. Этот ответ не может быть распространен на все варианты Unix и, конечно, не распространяется на все методы входа в систему. Например, OpenSSH регистрирует имя пользователя, даже если вы нажмете Ctrl+ Cв приглашении ввода пароля (на самом деле, прежде чем оно отобразит приглашение ввода пароля).

Жиль "ТАК - перестань быть злым"
источник
13
В последнем случае вы должны также изменить его везде, где вы его использовали повторно.
Гроностай
2
Поправьте меня, если я ошибаюсь, но, как правило, эти журналы видят только те, у кого уже есть доступ к вашим данным, если они этого захотят. Так что, если они увидят свой пароль? Подумаешь?
Мердад
4
Журналы аутентификации @Mehrdad обычно зарезервированы для администраторов, правда. Но есть разница между доверием кому-то возможности установить кейлоггер и доверием ему мои пароли. Также возможно, что резервная копия будет утечка, или что я поделюсь журналами с кем-то, чтобы помочь с устранением неполадок, и т. Д. Риски, которые утечка записи журнала, слишком высоки, чтобы игнорировать.
Жиль "ТАК - перестань быть злым"
1
Если этот ответ правильный, то это регресс по сравнению с Ubuntu 14.04. Выполнение указанных шагов в Ubuntu 14.04 не регистрирует имя пользователя или пароль, поскольку вход в систему был прерван нажатием ctrl-c до того, как эта информация была бы зарегистрирована.
kasperd
2
@kasperd Опубликовать как ответ.
wizzwizz4
7

В вашем случае вы в безопасности - вы ввели пароль и отменили его. Пароль, введенный в приглашении для входа в систему, за которым следует неверный пароль, будет считаться неудачной аутентификацией и частично записывается в btmpжурнал. Для ttyконсоли это все в порядке.

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

«Случайно» набранный пароль был записан как UNKNOWN, так что все хорошо здесь. Тем не менее, неудачные аутентификации на экране входа в систему GUI действительно показывают необработанные записи входа в систему

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
hellowor :1           :1               Mon Apr 25 22:17 - 22:17  (00:00)    
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

Есть ли в этом что-нибудь хорошее? Что ж . , Злоумышленник должен иметь доступ к вашей системе, в первую очередь, тем более - у него / нее должен быть root-доступ для чтения btmpжурнала. Это также означает для однопользовательского компьютера - это равносильно тому, что ваш пароль уже украден, так что запись в любом случае бесполезна для злоумышленника, если он знает ваш пароль. Пароль в записи, который вы можете вывести уже, был записан лишь частично, но это дает довольно серьезное преимущество злоумышленнику, поэтому в этой части нет ничего хорошего

Стоит ли менять пароль? Вероятно, просто чтобы быть на 100% уверенным. С другой стороны, злоумышленник должен иметь доступ к вашему btmpжурналу, который аналогичен доступу /etc/shadow, так что в этом нет никакого реального преимущества.

Примечание : все выходные из моего Ubuntu 14.04

Сергей Колодяжный
источник
Также верно, что этот плоский текстовый файл будет показывать пароль в файле журнала, если кто-то загрузит живую ОС на той же машине. Если вы используете этот же пароль в другом месте, это может представлять отдельную угрозу безопасности. Я бы порекомендовал удалить их из файла журнала и использовать программу, которая перезаписывает освободившееся пространство в зависимости от того, насколько важен для вас этот пароль
Joe
@ Джо, о каких конкретно журналах мы говорим? /var/log/auth.log? Да, повторное использование пароля является распространенной проблемой, я хорошо знаю об этом, поэтому я не использую ничего.
Сергей Колодяжный
1
Просто побочная мысль для других, когда они ищут это, так как я знаю так много людей, у которых есть один пароль для всего.
Джо
Также следует перезаписать файл btmp
Joe
итак, просто заключить .. sudo rm /var/log/btmp?
phil294