我不小心在登录字段中输入了密码,它仍然安全吗?

Modified on: Sat, 30 Jun 2018 10:21:00 +0800

我低头看着我的键盘输入了密码,因为我以为我已经输入了我的登录名。我按 Enter ,然后当它要求输入密码时我按了 Ctrl + c

我应该采取一些预防措施,以确保密码不是以纯文本形式存储在某处,还是应该更改密码?

这也是ubuntu服务器16.04 LTS上的tty。

最佳答案

关注的是您的密码是否记录在身份验证日志中。

如果您正在Linux下的文本控制台上登录,您已按 Ctrl + C 在密码提示符下,不会生成任何日志条目。至少,对于使用SysVinit的Ubuntu 14.04或Debian jessie,以及其他Linux发行版可能都是如此;我还没有检查在Systemd系统上是否仍然如此。按 Ctrl + C 会在生成任何日志条目之前终止login进程。所以你是安全的

另一方面,如果您实际进行了登录尝试,如果您在密码处按 Enter Ctrl + D ,则会发生这种情况提示,然后您输入的用户名将以纯文本格式显示在身份验证日志中。记录所有登录失败;日志条目包含帐户名,但从不包含任何有关密码的信息(只是密码不正确的事实)。

您可以查看身份验证日志进行检查。在Ubuntu 14.04或带有SysVinit的Debian jessie上,身份验证日志位于/var/log/auth.log

如果这是一台独家控制的机器,并且它没有远程登录,并且日志文件尚未备份,并且您愿意并且能够在不破坏任何内容的情况下编辑日志文件,那么编辑日志文件以删除密码。

如果您的密码记录在系统日志中,您应该认为它已被泄露,您需要对其进行更改。日志可能会因各种原因而泄漏:备份,请求帮助......即使您是此计算机上的唯一用户,也不要冒险。

注意:我没有检查Ubuntu 16.04的工作方式是否有所不同。这个答案可能不适用于所有Unix变体,并且肯定不适用于所有登录方法。例如,即使您在密码提示符下按 Ctrl + C (事实上它显示密码提示之前),OpenSSH也会记录用户名。

作者:,Gilles

相关问答

添加新评论