Username- + Passwortfelder vertauscht (Sicherheits-Schwachstelle)?

[MoonTower]

Hi,
vermutlich ist das jedem schon mal passiert:
Bei der Login-Abfrage, die meist aus Username/Email und Passwort besteht, wurden bei der Eingabe versehentlich die Felder vertauscht: Das Passwort landete im Userfeld u. man hat vorschnell schon alles "abgeschickt".
Meine Frage wäre an alle System-Admins:
Könnte das ein Sicherheits-Problem sein? Sind die beiden Login-Abfragen beide gleichzeitig gut geschützt?
Ich meine jetzt eher "intern". Wird da das Userfeld anders / unverschlüsselt "mitgeloggt" bei in diesem Fall ungültigem Zugangsversuch? Taucht das in irgendwelchen "Klartext-Loggfiles" auf?
Und wie ist das beim Suchabfragefeld in einem Internetshop? Falls da versehentlich das Passwort landet, könnte das schon eher als "verbrannt" angesehen werden, oder?
Vielleicht hat ja hier ein System-Admin mal einige Gedanken /Erfahrungswerte zu.

Grüße

 

[Incanus]

Wenn Zweifel bestehen würde ich das Kennwort in jedem Fall ändern, denn Zweifel können niemals sicher ausgeräumt werden.

 

[Visceroid]

Also wenn ich mein Admin Passwort unabsichtlich irgendwo anders als im Passwortfeld eingebe UND abschicke dann wird das Passwort geändert. Mich interessiert dann nicht wie das System im Hintergrund das handhabt, sicher ist sicher.

 

[kartoffelpü]

Kommt immer auf die Webseite/das Programm drauf an, ob Anmeldeversuche geloggt werden.
Und häufig steht dann auch der Benutzername, also im Fall von Vertauschen, das PW im Log.

 

[Yuuri]

Falls da versehentlich das Passwort landet, könnte das schon eher als "verbrannt" angesehen werden, oder?

Änder das Passwort halt auf das nächste, zufällige 32-stellige im Passwortmanager und gut.

 

[MoonTower]

Ja, das hört sich alles sinnvoll und vernünftig an. Aber ein "Internet-Anfänger" oder "Normal-Surfer" wird sich solche Gedanken nicht machen. Deshalb mal die Frage an Leute hier, die sich da auskennen. Ich habe so etwas auch noch nie irgendwo gelesen ... was ja vieles bedeuten kann

 

[DieRenteEnte]

In meiner alten Zeit als Freizeit-Administrator einer Website konnte ich fehlgeschlagene Logins im Protokoll nachverfolgen. Da stand neben IP, Uhrzeit, Datum und Browser auch der eingetragene Benutzername.
Also ja, wenn jemand ein Passwort ins Benutzernamenfeld eingetragen hat, konnte ich es sehen.

Theoretisch war es als Administrator aber sowieso völlig egal, da man jeden Account übernehmen konnte.
Namen ändern, Passwort ändern, E-Mail ändern, Beiträge ändern, usw... auch ohne Benachrichtigung.
Die Frage als Nutzer wäre, warum man es vor dem Administrator verheimlichten sollte.
Der Admin ist die letzte Person, vor der man sich schützen kann bzw. gar nicht schützen kann.

P.S:
Transferleistung: Was glaubst du, was die Admins von bzw. Google, Microsoft, Facebook, etc. mit deinen Accounts anstellen könnten.
In nahezu allen News kannst du nachlesen, dass es überall Missbrauchsfälle gab z.B. E-Mails oder Kalender von anderen (beispielsweise Vorstand, Chef, etc.) lesen.
Man sagt nicht aus Spaß, dass so bald etwas in der Cloud oder auf anderen Servern ist, es nicht mehr 100% privat ist.

 

[Visceroid]

Die Frage als Nutzer wäre, warum man es vor dem Administrator verheimlichten sollte.

PW: adminsuxx1!

@MoonTower
Die Frage stellt sich grundsätzlich gar nicht, ist es ein (Admin) Kennwort gehört es geändert wenn es "geleaked" sein könnte. Die Chance dass es im Logfile steht ist hoch, die Chance dass es dort wer findet und korrekt dem Account zuordnen kann ist vermutlich eher gering.

 

[DieRenteEnte]

@Visceroid
Die Zuordnung ist kein Problem.
Das Auffinden von Unberechtigten sollte, wenn es korrekt programmiert und strukturiert ist, nicht möglich sein.

Beispiel:
Login denied: IP: 192.168.0.1 User: adminsuxx1! Time: 17:53 ...
Login: IP: 192.168.0.1 User: Visceroid Time: 17:54 ...