是否记录失败的登录凭据？

Question

当有人不小心在用户名提示中输入登录密码时，输入是否有可能以纯文本形式写入某个日志文件？

是的，这确实是可能的。这就是为什么，作为一项安全措施，如果您错误地输入了密码而不是用户名，您应该尽快更改密码。

例如，如果LOG_UNKFAIL_ENAB配置值/etc/login.defs设置为 true，就会发生上述行为，如注释中所述。

从联机帮助页：

   LOG_UNKFAIL_ENAB (boolean)
       Enable display of unknown usernames when login failures are
       recorded.

       Note: logging unknown usernames may be a security issue if an
       user enter her password instead of her login name.

Answer 1

当有人不小心在用户名提示中输入登录密码时，输入是否有可能以纯文本形式写入某个日志文件？

是的，这确实是可能的。这就是为什么，作为一项安全措施，如果您错误地输入了密码而不是用户名，您应该尽快更改密码。

例如，如果LOG_UNKFAIL_ENAB配置值/etc/login.defs设置为 true，就会发生上述行为，如注释中所述。

从联机帮助页：

   LOG_UNKFAIL_ENAB (boolean)
       Enable display of unknown usernames when login failures are
       recorded.

       Note: logging unknown usernames may be a security issue if an
       user enter her password instead of her login name.

是否记录失败的登录凭据？

答案1

相关内容