আমি দুর্ঘটনাক্রমে লগইন ক্ষেত্রে আমার পাসওয়ার্ডটি টাইপ করেছি, এটি কি এখনও নিরাপদ?


75

আমি আমার কীবোর্ডটি নীচে দেখছিলাম এবং আমার পাসওয়ার্ডটি টাইপ করেছি কারণ আমি ভেবেছিলাম যে আমি ইতিমধ্যে আমার লগইন নামটি টাইপ করেছি। আমি টিপলাম Enter, তারপরে যখন এটি পাসওয়ার্ড জিজ্ঞাসা করল আমি Ctrl+ টিপলাম c

পাসওয়ার্ডটি কোথাও সরল পাঠ্যে পাসওয়ার্ড সংরক্ষণ করা হয়নি তা নিশ্চিত করার জন্য আমার কি কিছু সাবধানতা অবলম্বন করা উচিত বা আমার পাসওয়ার্ডটি পরিবর্তন করা উচিত?

এছাড়াও এটি ওবুন্টু সার্ভারে 16.04 এলটিএসে ছিল।


10
আপনার পাসওয়ার্ডটি লগ ফাইলে থাকবে এবং আপনার পাসওয়ার্ডটি অন্তর্ভুক্ত না করে এটি সম্পাদনা করা উচিত তবে আপনি এটি লগ ফাইল থেকে সরিয়ে দেওয়ার পরেও আমি আপনাকে পরামর্শ দিচ্ছি যে আপনি যেভাবেই হোক না কেন আপনার পাসওয়ার্ড পরিবর্তন করুন।
জন মিলিটার

1
নিরাপত্তা নকল SE: security.stackexchange.com/questions/101172/...
stanri

4
আলাদা পিসি থেকে এসএসএইচ + সার্বজনীন-কীগুলি ব্যবহার করার এবং কনসোল প্রদর্শন এবং কীবোর্ডকে কেবলমাত্র জরুরী পরিস্থিতিতে রাখার আর একটি ভাল কারণ।
রেডগ্রিটিব্রিক 13

@ স্টেসি যে প্রশ্নটি অন্যের দ্বারা নিয়ন্ত্রিত কোনও (সম্ভবত দূরবর্তী) সাইটে লগইনের জন্য; এটি একটি স্থানীয় সিস্টেমের জন্য। কিছু ওভারল্যাপ রয়েছে তবে এটি একই নয়।
dave_thompson_085

2
এটি পরীক্ষা করার জন্য আমার কাছে এখনও কোনও উবুন্টু 16.04 সিস্টেম নেই। তবে কোনও উবুন্টু 14.04 ডেস্কটপ ইনস্টলের ঠিক একই পদক্ষেপগুলি অনুসরণ করে ব্যবহারকারীর নাম বা পাসওয়ার্ড লগ করে না। আপনার পাসওয়ার্ডটি কোনও লগফাইলে তৈরি করা এড়াতে আপনি ঠিক মুহুর্তে সিটিআরএল-সি টিপেছেন বলে মনে হচ্ছে।
ক্যাস্পারড

উত্তর:


101

আপনার পাসওয়ার্ড প্রমাণীকরণ লগ মধ্যে রেকর্ড করা হয়েছে কিনা তা উদ্বেগের বিষয়।

আপনি যদি লিনাক্সের অধীনে কোনও পাঠ্য কনসোলে লগ ইন করেন এবং আপনিCtrlC পাসওয়ার্ড প্রম্পটে + টিপেন, তবে কোনও লগ এন্ট্রি তৈরি করা হয় না। কমপক্ষে, এটি উবুন্টু 14.04 বা সিসভিনিটের সাথে ডেবিয়ান জেসি এবং সম্ভবত অন্যান্য লিনাক্স বিতরণের ক্ষেত্রে সত্য; সিস্টেমডযুক্ত সিস্টেমে এখনও এটি আছে কিনা তা আমি পরীক্ষা করে দেখিনি। টিপলে Ctrl+ + Cনিহত loginআগেই কোনো লগ এন্ট্রি উত্পন্ন প্রক্রিয়া। সুতরাং আপনি নিরাপদ

অন্যদিকে, আপনি যদি লগইন করার চেষ্টাটি করে থাকেন, যা আপনি চাপলে Enterবা পাসওয়ার্ড প্রম্পটে Ctrl+ Dহয়, তবে আপনার প্রবেশ করা ব্যবহারকারীর নামটি প্রমাণীকরণ লগগুলিতে সরল পাঠ্যে প্রদর্শিত হবে। সমস্ত লগইন ব্যর্থতা লগড; লগ এন্ট্রিতে অ্যাকাউন্টের নাম থাকে তবে পাসওয়ার্ড সম্পর্কে কখনই কিছু অন্তর্ভুক্ত হয় না (কেবলমাত্র পাসওয়ার্ডটি ভুল ছিল)।

আপনি প্রমাণীকরণ লগ পর্যালোচনা করে পরীক্ষা করতে পারেন। উবুন্টু 14.04 বা সিসভিনিটের সাথে ডেবিয়ান জেসিতে, প্রমাণীকরণের লগগুলি রয়েছে /var/log/auth.log

যদি এটি আপনার একচেটিয়া নিয়ন্ত্রণে থাকা কোনও মেশিন হয় এবং এটি দূরবর্তী সময়ে লগ হয় না এবং লগ ফাইলটি এখনও ব্যাক আপ হয় না এবং আপনি কিছু না ভাঙ্গিয়ে লগ ফাইলটি সম্পাদনা করতে ইচ্ছুক এবং সক্ষম হন তবে লগটি সম্পাদনা করুন পাসওয়ার্ড সরাতে ফাইল।

যদি আপনার পাসওয়ার্ডটি সিস্টেম লগগুলিতে রেকর্ড করা থাকে তবে আপনার এটি আপোস করা উচিত এবং আপনার এটি পরিবর্তন করা দরকার। লগগুলি সমস্ত ধরণের কারণে ফাঁস হতে পারে: ব্যাকআপগুলি, সহায়তার জন্য অনুরোধগুলি ... এমনকি আপনি যদি এই মেশিনের একমাত্র ব্যবহারকারী হন তবে এটি ঝুঁকিপূর্ণ করবেন না।

দ্রষ্টব্য: উবুন্টু 16.04 ভিন্নভাবে কাজ করে কিনা তা আমি পরীক্ষা করে দেখিনি। এই উত্তরটি সমস্ত ইউনিক্স বৈকল্পিকের জন্য সাধারণীকরণযোগ্য নাও হতে পারে এবং অবশ্যই সমস্ত লগইন পদ্ধতির ক্ষেত্রে সাধারণীকরণযোগ্য নয়। উদাহরণস্বরূপ ওপেনএসএইচ ব্যবহারকারীর নামটি লগইন করে এমনকি আপনি পাসওয়ার্ড প্রম্পটে Ctrl+ টিপুন C(এটি আসলে পাসওয়ার্ড প্রম্পট দেখানোর আগে)।


13
পরবর্তী ক্ষেত্রে আপনি যেখানেই এটি পুনরায় ব্যবহার করেছেন সেদিকেই এটিকে পরিবর্তন করা উচিত।
গ্রোনস্টাজ

2
আহ, আমি ভুল হলে আমাকে সংশোধন করুন তবে কেবলমাত্র এই লোকগুলি এই লগগুলি দেখতে পাবে তারা চাইলে ইতিমধ্যে আপনার ডেটাতে অ্যাক্সেস পেতে পারে। তাহলে তারা যদি তাদের পাসওয়ার্ড দেখে? বড় চুক্তি কি?
মেহরদাদ

4
@ মেহেরদাড প্রমাণীকরণ লগগুলি সাধারণত প্রশাসকদের কাছে সংরক্ষিত থাকে, সত্য। তবে একটি keylogger ইনস্টল করার ক্ষমতা সহ কাউকে বিশ্বাস করা এবং আমার পাসওয়ার্ড দিয়ে তাদের বিশ্বাস করার মধ্যে পার্থক্য রয়েছে। এটিও সম্ভব যে কোনও ব্যাকআপ ফাঁস হবে, বা সমস্যা সমাধানের ক্ষেত্রে সাহায্যের জন্য আমি কারও সাথে লগগুলি ভাগ করব a
গিলস

1
যদি এই উত্তরটি সঠিক হয়, তবে এটি উবুন্টু 14.04 এর সাথে তুলনা করে ression উবুন্টু ১৪.০৪-তে উল্লিখিত পদক্ষেপগুলি অনুসরণ করে ব্যবহারকারীর নাম বা পাসওয়ার্ড লগ হয় না , কারণ লগইন করার আগে ctrl-c চেপে তথ্য লগইন করা হত।
ক্যাস্পারড

2
উত্তর হিসাবে Kasperd পোস্ট।
wizzwizz4

7

আপনার ক্ষেত্রে, আপনি নিরাপদ - আপনি একটি পাসওয়ার্ড টাইপ করেছেন এবং এটি থেকে বাতিল হয়ে গেছেন। ভুল পাসওয়ার্ড অনুসরণ করে লগইন প্রম্পটে টাইপ করা একটি পাসওয়ার্ড ব্যর্থ প্রমাণীকরণ হিসাবে বিবেচিত হবে এবং btmpলগ করার জন্য আংশিকভাবে রেকর্ড করা হবে । জন্য ttyকনসোল তবে ঠিক আছে যে।

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

"দুর্ঘটনাক্রমে" টাইপ করা পাসওয়ার্ড হিসাবে রেকর্ড করা হয়েছিল UNKNOWN, তাই এখানে সব ভাল। যাইহোক, জিইউআই লগইন স্ক্রিনে ব্যর্থ হওয়া প্রমাণীকরণগুলি ব্যর্থ লগইন এন্ট্রিগুলিকে নিরবিচ্ছিন্ন দেখায়

$ sudo lastb                                                                   
[sudo] password for xieerqi: 
hellowor :1           :1               Mon Apr 25 22:17 - 22:17  (00:00)    
UNKNOWN  tty1                          Mon Apr 25 22:14 - 22:14  (00:00)    

এটি সম্পর্কে ভাল কিছু আছে? ভাল । । আক্রমণকারীটির প্রথমে আপনার সিস্টেমে অ্যাক্সেস থাকতে হবে, আরও বেশি - btmpলগটি পড়ার জন্য তার / তার কাছে রুট অ্যাক্সেস থাকতে হবে । যার অর্থ একটি একক ব্যবহারকারী কম্পিউটারের জন্যও - এটি ইতিমধ্যে আপনার পাসওয়ার্ড চুরি হওয়ার সমতুল্য যাতে যাতে প্রবেশদাতাকে যদি আপনার পাসওয়ার্ড জানা থাকে তবে প্রবেশকারীর কোনও কাজে আসবে না। প্রবেশের পাসওয়ার্ড, আপনি ইতিমধ্যে অনুমিত করতে পারেন, কেবল আংশিক রেকর্ড করা হয়েছে, তবে এটি আক্রমণকারীর পক্ষে যথেষ্ট ন্যায্য সুবিধা দেয়, সুতরাং সেই অংশটি সম্পর্কে ভাল কিছু নেই

আপনার পাসওয়ার্ড পরিবর্তন করা উচিত? সম্ভবত, কেবলমাত্র 100% নিশ্চিত হতে হবে the অন্যদিকে, আক্রমণকারীটির আপনার লগটিতে অ্যাক্সেস থাকতে হবে btmpযা অ্যাক্সেস থাকার সমান /etc/shadow, তাই এর কোনও আসল সুবিধা নেই।

পার্শ্ব নোট : আমার উবুন্টু থেকে সমস্ত আউটপুট 14.04


এটিও সত্য যে কেউ যদি একই মেশিনে লাইভ ওএস বুট করতে থাকে তবে এই বিমানের পাঠ্য ফাইলটি লগ ফাইলে পাসওয়ার্ডটি প্রদর্শন করবে। আপনি যদি এই একই পাসওয়ার্ডটি অন্য কোথাও ব্যবহার করেন তবে এটির একটি পৃথক সুরক্ষা ঝুঁকি হতে পারে। আমি তাদের লগ ফাইল থেকে বের করে ফেলার এবং এমন একটি প্রোগ্রাম ব্যবহার করার পরামর্শ দিচ্ছি যা এই পাসওয়ার্ডটি আপনার পক্ষে কতটা গুরুত্বপূর্ণ তার উপর নির্ভর করে মুক্ত স্থানটি লিখে দেয়
জো

@ জো কোন নির্দিষ্ট লগের কথা বলছি? /var/log/auth.log? হ্যাঁ, পাসওয়ার্ড পুনরায় ব্যবহার করা একটি সাধারণ সমস্যা, আমি এটি সম্পর্কে ভাল জানি, তাই আমি কোনওটিই পুনরায় ব্যবহার করি না।
সের্গেই কোলোডিয়াজনি

1
অন্যরা যেমন ঠিক ততক্ষণ তাকিয়ে থাকে কেবল তখনই এক পক্ষ যেমন আমি জানি এমন অনেক লোককে জানি যে সমস্ত কিছুর জন্য 1 পাসওয়ার্ড রয়েছে।
জো

এছাড়াও বিটিএমপি ফাইলটিও লিখতে হবে
জো

সুতরাং, উপসংহারে .. সহজভাবে sudo rm /var/log/btmp?
ফিল 2929
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.