Если “забыл Ваш пароль?” страница посылает Ваш старый пароль по электронной почте, то, что категорическое доказательство, что они сохранили его в простом тексте?
Когда сайт посылает Ваш старый пароль по электронной почте, в противоположность требованию, чтобы Вы сбросили его на сайте, я задаюсь вопросом, что это подразумевает об их мерах безопасности.
Это означает, что они хранят пароль в простом тексте для их собственного удобства, или они могли все еще использовать шифрование на пароле?
4 ответа
Они могли бы использовать шифрование, когда пароль хранится в DB, но они не должны хранить его в восстановимом формате вообще, зашифрованный или иначе.
Они должны брать односторонний хэш пароля (плюс соль). Это означает, что они могут проверить пароль, который Вы вводите, теперь соответствует тому, который Вы дали прежде, но они (или некоторый взломщик с доступом к их DB) не могут узнать, каково это. Шифрование пароля означает, что взломщик должен был бы найти DB и ключ шифрования, но так как ключ должен быть на сервере, служащем веб-сайту, это едва немыслимо.
Таким образом, если они могут отправить Вам Ваш пароль, это означает, что они не применяют известные лучшие методы безопасности.
Плохая практика как это является серьезным основанием для использования другого пароля для каждого веб-сайта, в котором Вы регистрируетесь.
-
1BTW, благодарит назвать их взломщиками вместо хакеров! – NVRAM 25.09.2009, 19:44
Даже если это шифруется и безопасно, та электронная почта никоим образом не была безопасна.
Одна вещь, которую Вы действительно знаете, при помощи электронной почты, Ваш пароль, теперь почти
конечно, сохраненный в простом тексте во многих других местоположениях:
- На их почтовом сервере
- На Вашем почтовом сервере поставщика
- В браузере Вашего компьютера или почтовых каталогах хранилища
- На жестком диске / журналы любого, кто, возможно, "слушал в" по пути
- ... и вполне возможно в любом Интернете скачкообразно двигаются между Вами и тем сайтом.
Как Dave сказал, они могли и надо надеяться использовать шифрование, но я видел сайты, которые хранят пароли в простом тексте. Они могли также генерировать новый временный пароль, когда Вы совершаете нападки, я забыл мою кнопку пароля, которую необходимо изменить в первый раз, когда Вы входите в систему с ним. Нижняя строка - Вы, не знают, как они хранят Ваш пароль и если сайт не размещается той же компанией, со стороны которой Вы получаете поддержку, и у них только есть несколько человек, маловероятно, что Вы смогли бы спросить любого, который будет знать, как это хранится, и даже если бы они действительно знали, что маловероятно, что они сказали бы Вам.
Ответ НЕТ - это не доказательство ничего.
В любом случае у Вас нет способа знать, как пароли хранятся внутренне. Скорее всего, они используют базу данных как mysql, и могло бы случиться так, что они не шифруются в базе данных. Однако все еще возможно, что они сознательно хранят всю базу данных в некоторых зашифрованных медиа, таких как TrueCrypt. Все, что можно сделать, надеяться, что они приняли достаточно мер для защиты конфиденциальности.
-
1Это - доказательство, что они не хранятся зашифрованные с односторонним хэшем, и следовательно незашифрованный пароль может быть получен. – NVRAM 25.09.2009, 19:45
-
2не является тем же как простым текстом. Полученный может также означать дешифрованный. Средства простого текста сохранили как простой текст, который можно отобразить без особых усилий. – harrymc 25.09.2009, 19:58
-
3Если это может быть дешифровано затем, это не безопасно. Примите проходящее проверку подлинности поле, и у Вас есть ключи, чтобы дешифрующий общие пароли. – Jeremy L 25.09.2009, 21:39