Як Netflix знає мій пароль?

8

Щоразу, коли я переходжу на головну сторінку Netflix у Firefox, я автоматично входжу в систему.

Однак, коли я відкриваю список збережених паролів Firefox, я помічаю, що Netflix немає серед сайтів, за якими Firefox зберігає паролі для ( Options -> Security -> Saved Passwords)

Як Netflix знає пароль, якщо Firefox не зберігає його і де він зберігається?

firefox  passwords  netflix 
Ворон мрійник
джерело
21
Я не бачу, яка частина цього сценарію змушує вас думати, що вони знають ваш пароль. По суті, все, що ви сказали, - "Я щойно отримав Chromecast". і "Firefox не врятував мій пароль Netflix." Що з тих двох фактів змушує вас повірити у Netflix свій пароль? Я здогадуюсь, що це непорозуміння виникло із чогось іншого, ніж із того, що ви вказали у своєму поточному запитанні. Можливо, ви могли б редагувати, щоб пояснити, що це "щось"?
Ajedi32
1
@ Ajedi32 Чесно кажучи, у мене просто відбулася душевна помилка, і я припускав, що оскільки я входив у систему, коли я відкриваю Netflix, це Firefox робив реєстрацію. Повністю забув, що печиво - річ.
Ворон сонника
4
Тож насправді Chromecast абсолютно не має значення.
David Z
@DavidZ Якщо хтось не мав інформацію про те, як ним користуватися через Firefox ... так.
Сонник ворона
@RavenDreamer Це було б інше питання; так нерелевантно незалежно.
OJFord

Відповіді:

31

Щоб відповісти на ваше перше запитання, Netflix не знає вашого пароля .

Що робить Netflix та кожен інший компетентний веб-сайт - це хеш-пароль, використовуючи односторонню схему хешування ( MD5 , SHA-1 , SHA-2 тощо).

Це, по суті, створює унікальний шістнадцятковий відбиток фіксованої довжини, який визначає рядок тексту, який є вашим паролем. Наприклад, ось як виглядає мій захищений пароль після хешування за допомогою MD5:

MD5 хешування

Вони зберігають цей хеш у своїй внутрішній базі даних, і кожен раз, коли ви входите в Netflix, пароль, який ви надаєте під час входу, знову хеширується за тією ж схемою і порівнюється з копією хешованого пароля, що зберігається в їхній базі даних.

Якщо вони відповідають, вони знають, що ви ввели правильний пароль і вам надано доступ. Якщо цього не зробити, ви не отримаєте автентифікацію. Ось чому, коли ви клацаєте на деякий варіант посилання Забутий пароль, вони не надсилають вам свій старий пароль, а пропонують вам вибрати новий. Це тому, що вони також не знають, що таке ваш пароль.

Тож як ви входите в систему, якщо Firefox не зберігав пароль для Netflix?

Відповідь на це - сесійні файли cookie . Коли ви ввійшли в Netflix (можливо, деякий час тому назад), можливо, ви вирішили запам'ятати свій сеанс.
Пам'ятай мене?

Якщо ви це зробили, Firefox зберігає на вашому комп’ютері невеликий шматочок інформації, який однозначно ідентифікує вас, коли ви відвідуєте Netflix. Ці "файли cookie", як їх називають, зберігаються протягом короткого періоду часу, поки сеанс не буде активним, а потім закінчується. Однак деякі можуть тривати тижні або довше. Видаліть це cookie та Netflix не запам’ятає вас.

Печиво Netflix

Що стосується вашого другого питання, якщо Firefox не "запам'ятав" пароль, він ніде не зберігається. Зберігається файл cookie. Firefox зберігає їх у своїй папці "Профілі" у файлі, cookies.sqliteщо є файлом бази даних SQLite .

Нарешті, якщо ви вирішили увійти через свій обліковий запис Facebook, вам не знадобиться пароль, і тому Firefox не зберігатиме його.

увійти за допомогою Facebook

Однак cookie все одно буде створено для ідентифікації вашого сеансу.

Виняк
джерело
23
MD5 є одностороннім, оскільки це хеш-функція. Скажіть, що це не означає, що ви могли якось отримати оригінальні дані з хешу MD5 за допомогою криптографічного процесу. Ви не можете. Зазначені вами інструменти можуть "повернути" хеш лише тому, що вони вклали значну потужність комп'ютера, щоб змусити всілякі комбінації паролів доходити до початкового рядка пароля. Це не означає, що MD5 є оборотним. Хеширование відрізняється від шифрування, де ви можете розшифрувати дані, якщо у вас є ключ. Також з хешированием, незалежно від того, як довго вводиться, вихід завжди фіксованої довжини.
Виняк
16
@Derek 朕 會 功夫 MD5 криптографічно "зламаний", але це стосується зіткнень , а не попередніх зображень (що стосується паролів). MD5 також поганий для паролів, але це тому, що він швидкий , тому ви можете за короткий час виправити безліч паролів (і це те ж саме для інших найсучасніших хеш-функцій, як SHA-2 і SHA -3). Дивіться crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann
9
Мені належить подати заяву лише на приклад MD5, як би добре не було решти відповіді. Це просто не те, що ви хочете прочитати у 2014 році (скоро це буде 2015 рік). Ніколи не було гарною ідеєю використовувати сирий MD5 (навіть з сіллю) для зберігання паролів, і більшість людей зрозуміли це протягом останніх 10 років. -1
Томас
8
@Thomas Вибачте, що ви так відчуваєте, але моя відповідь ніколи не повинна була бути керівництвом щодо вибору найкращої схеми хешування. SuperUser - це не StackOverflow, сподобався він чи ні, MD5 все ще є криптографічною хеш-функцією, тому я не бачу, що не в чому пояснювати, що таке хеш на прикладі MD5.
Виняк
7
@kasperd "Насправді до сьогодні використання єдиного виклику MD5 з сіллю все ще захищено для тих користувачів, які використовують хороші паролі." Ні. Будь ласка, не поширюйте дезінформацію. Одноразовий виклик MD5 абсолютно недостатні.
Ейркс
10

Netflix - як і більшість інших веб-сайтів - не хвилює ваш пароль під час звичайного перегляду. Натомість під час входу в Netflix браузер зберігає "cookie" з ідентифікатором сеансу входу. Веб-переглядач повертає його щоразу, коли вимагає нової сторінки. (Так само зберігання паролів у Firefox використовується не під час звичайного перегляду, а лише для автоматичного заповнення поля пароля на сторінках входу.)

Файли cookie сеансу зазвичай генеруються випадковим чином і не мають жодного відношення до вашого логіну або пароля - лише Netflix може пов'язувати його з вашим обліковим записом.

Щоб побачити їх, клацніть правою кнопкою миші сторінку, виберіть "Переглянути інформацію про сторінку", а в розділі "Безпека" натисніть "Переглянути файли cookie".

user1686
джерело
5

У Netflix немає нічого поганого. Як і майже всі веб-сайти, на яких ви можете ввійти, він зберігає на вашому ПК файл cookie, який, крім усього іншого, зберігає зашифровані дані, що представляють ваш пароль.

Хіба ви не бачили подібної поведінки в Google, Facebook, Yahoo, Windows Live та будь-якому іншому обліковому записі?

Деякі веб-сервіси можуть використовувати файли cookie, які діють лише короткий проміжок часу або лише протягом поточного сеансу (наприклад, Yahoo та Facebook, якщо не вибрано параметр « Запам'ятати мене на цьому комп’ютері» ). Але, мабуть, Netflix використовує файли cookie, які є дійсними протягом більш тривалого періоду часу, що дозволяє вам увійти в систему, якщо ви не видаляєте історію свого веб-переглядача - особливо файли cookie.

Тепер ви можете запитати, в чому полягає використання зберігання паролів у браузері. Це дуже просто. Якщо ви вийдете з Netflix (або будь-якого іншого), файл cookie буде видалено. Якщо ви хочете увійти в систему, вам доведеться ввести як ім’я користувача, так і пароль. Якщо ви зберегли свій пароль у веб-переглядачі, він автоматично заповнить це поле під час введення імені користувача.

Корнелій
джерело
10
Уточнення - файли cookie не містять даних, що представляють паролі. Вони, скоріше, містять випадкові дані, які ідентифікують сеанс, пов’язаний з вашим обліковим записом. Сеанси зберігаються на сервері.
ntoskrnl
0

Ви перевіряли свої файли cookie? Ваш пароль або зашифрована копія вашого пароля може бути там.

гімі
джерело
5
Це було б жахливо незахищеним дизайном. Поширена практика - використовувати сесійне cookie, яке жодним чином не пов'язане з паролем.
kasperd
Це не дуже важливо конкретно, що він там знаходить. Він повинен перевірити своє печиво.
гімн
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.