Якщо "забули пароль?" сторінка надсилає ваш старий пароль, чи це остаточне підтвердження того, що вони зберегли його у простому тексті?

8

Коли сайт надсилає ваш старий пароль, на відміну від того, щоб вимагати від його скидання на сайті, мені цікаво, що це стосується заходів безпеки.

Чи означає це, що вони зберігають пароль у простому тексті для власної зручності чи вони все ще можуть використовувати шифрування пароля?

security  passwords  encryption 
С. Майклз
джерело
Пов’язане з цим питанням - superuser.com/questions/46810/…
ChrisF
3
Шифрування - це двосторонній процес, де можна якось розшифрувати інформацію, задану правильним ключем. Замість паролів зазвичай використовується хешування, яке теоретично є одностороннім кодуванням, коли пароль призводить до конкретного хеш-значення - яке важко або неможливо відновити. Після цього увійти, введений пароль кодується таким же чином і порівнюється із збереженим кодованим значенням і дозволяє вам, якщо вони відповідають. На практиці іноді ви можете змінити процес за допомогою різних
жорстоких
2
Незалежно від того, чи було б у них це було зашифровано, вони надіслали його електронним електронним листом! Цей веб-сайт жодним чином не є серйозним, або він не вказує на безпеку. Сподіваємось, ви не дали їм пароль, яким ви користуєтесь деінде. Правильно?
DanO
Я відмовився від сайту, тому що вони наполягали надсилати мені своє ім’я користувача та пароль один раз на місяць, незалежно від того, просив я його чи ні. Я кілька разів надсилав їм електронне повідомлення, щоб сказати, що це не дуже добре, а потім відмовився.
TRiG

Відповіді:

25

Вони можуть використовувати шифрування, коли пароль зберігається в БД, але вони взагалі не повинні зберігати його у форматі, який можна отримати, зашифрованому чи іншим способом.

Вони повинні приймати однобічний хеш пароля (плюс сіль ). Це означає, що вони можуть перевірити пароль, який ви вводите зараз, що відповідає тому, який ви вказали раніше, але вони (або який-небудь зловмисник з доступом до своєї БД) не можуть дізнатися, що це таке. Шифрування пароля означає, що зловмиснику доведеться знайти БД і ключ шифрування, але оскільки ключ повинен бути на сервері, що обслуговує веб-сайт, це навряд чи неможливо.

Тож якщо вони можуть надіслати вам свій пароль, це означає, що вони не дотримуються відомих найкращих практик безпеки.

Така погана практика є вагомою причиною для використання іншого пароля для кожного веб-сайту, на якому ви реєструєтесь .

Дейв Вебб
джерело
9
BTW, дякую, що назвали їх сухариками замість хакерів !
NVRAM
Більше банків вважають, що двосторонні хеші вважаються достатньо безпечними для зберігання інформації про кредитні картки.
runako
1
@runako: Що таке двосторонній хеш? Хеш-функція зазвичай дає значення певного розміру, що означає, що оригінал не можна знайти знову, якщо оригінал не перевищує хеш-значення.
Девід Торнлі
1
Вибачте, помилковий пост. Це мала бути "двостороння функція".
runako
19

Навіть якщо він буде зашифрований і безпечно, що електронна пошта була жодною мірою забезпечити.

Одна річ , яку ви робите знаєте, за допомогою електронної пошти , пароль тепер майже ,
звичайно , зберігається у вигляді звичайного тексту на багатьох інших місцях :

  • На їх поштовому сервері
  • На сервері постачальника електронної пошти
  • У браузері вашого комп’ютера або в каталогах зберігання електронної пошти
  • На жорсткому диску / журналах усіх, хто, можливо, "слухав" по дорозі
  • ... і цілком можливо, при будь-якому інтернет-стрибку між вами та цим сайтом.
Роберт Картенто
джерело
1

Як сказав Дейв, вони могли і, сподіваємось, використовують шифрування, але я бачив сайти, які зберігають паролі у простому тексті. Вони також можуть створити новий тимчасовий пароль, коли ви натиснете кнопку "Я забув мій пароль", що вам доведеться змінити перший раз, коли ви ввійдете з ним. Суть полягає в тому, що ви не знаєте, як вони зберігають ваш пароль, і якщо на сайті не розміщується та сама компанія, від якої ви отримуєте підтримку, і у них є лише кілька людей, навряд чи ви зможете запитати когось, що б знайте, як він зберігається, і навіть якби вони знали, це навряд чи вони вам скажуть.

Бійнер
джерело
0

Відповідь ні - це не є доказом нічого.

У будь-якому випадку, ви не можете знати, як паролі зберігаються всередині країни. Швидше за все, вони використовують таку базу даних, як mysql, і можливо, вони не зашифровані всередині бази даних. Однак все-таки можливо, що вони свідомо зберігають всю базу даних на деяких зашифрованих носіях, таких як TrueCrypt . Все, що ви можете зробити, це сподіватися, що вони вжили достатньо заходів для захисту вашої конфіденційності.

harrymc
джерело
6
Це доказ того, що вони не зберігаються в зашифрованому вигляді з одностороннім хешем, а значить, звичайний текстовий пароль можна отримати.
NVRAM
1
Отриманий файл не такий, як звичайний текст. Отримані також можуть означати розшифровані. Звичайний текст означає, що зберігається як простий текст, який можна відображати без особливих зусиль.
harrymc
1
Якщо його можна розшифрувати, це не захищено. Візьміть вікно автентифікації і у вас є ключі, щоб розшифрувати всі паролі.
Джеремі Л
1
Так, перейдіть на сервер сайту, і ви можете реєструвати паролі ще до того, як вони будуть однобічно хешировані. Давайте, хлопці, ви дурні.
harrymc
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.