Я нашел комментарий к Reddit, предполагающей, что ProjectLocker, свободный хост Мерзавца, хранит их пароли в простом тексте.
Я не знаю
Это могло означать, что для кого-то было бы тривиально легко войти в один из моих частных репозиториев кода?
Я работаю в ProjectLocker, и я хотел бы добавить некоторую ясность к этому потоку. Во-первых, для ответа на вопросы OP:
a) Этот слух не верен. ProjectLocker не хранит пароли в простом тексте.
b) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их системам бэкенда.
c) Я был бы справедливо взволнован. Однако я был бы довольно удивлен найти, что любой основной хостинг Подверсии или Мерзавец, размещающий сайты, хранит незашифрованные пароли. Это - просто плохая идея.
Кстати, весь доступ Мерзавца в ProjectLocker использует аутентификацию с открытым ключом и никакие пароли.
Как другие указали, ProjectLocker действительно позволяет пользователям получать потерянные пароли. Мы делаем это путем хранения паролей, зашифрованных с двухсторонней функцией. (Если Вы когда-нибудь проверяете, "сохраняют эту карту для более позднего" поля на веб-сайте электронной коммерции, Ваша кредитная карта хранится тот путь. То же самое идет для сайтов подписки что счет периодически, такой как Netflix.) В целом мы рассматриваем пароли как уязвимые данные, как кредитные карты или клиентские артефакты (код, и т.д.). Существуют справедливые философские дебаты о том, должны ли сайты сохранить пароли в восстановимом формате, но обратная связь от наших пользователей указала, что они предпочитают восстановимые пароли.
Относительно сообщения в Reddit, я могу сказать, что плакат никогда не работал в ProjectLocker и не имеет никакого фактического знания наших систем аутентификации. Плакат, скорее всего, не знаком с двухсторонними функциями и по ошибке путает "обратимый" с "простым текстом".
Наконец, если Вы рассматриваете хостинг Вашего кода с третьим лицом, и Вы не доверяете их ответы на вопрос как это, Вы не должны определенно хранить свой код там. Если Вы не доверяете своему хосту, Вы не должны использовать их вообще, независимо от того, как они хранят Ваш пароль.
Если это верно затем, что это - угроза безопасности, поскольку любой с доступом (или способный получить доступ через некоторые средства) сможет считать Ваш пароль.
Вы могли всегда спрашивать ProjectLocker, если комментарий к Reddit верен. Полагаете ли Вы, что их ответ ваше дело.
Однако я не знаю, верно ли это или нет.
Один способ проверить, верно ли это, состоит в том, чтобы притвориться упущение пароля. Если хост говорит Вам Ваш текущий пароль вместо того, чтобы сбросить его и дать Вам временный пароль, у Вас есть доказательство, что они хранят его в простом тексте.
править: Комментарий Joshua является правильным: это не категорическое доказательство, что они хранят Ваш пароль в простом тексте, но это - доказательство, что они хранят Ваш пароль в обратимом формате.
Это является самым безопасным для хранения соленого одностороннего хэша пароля. Это тривиально, чтобы хешировать Ваш вход и сравнить его с сохраненным хешем, но невозможный для любого перепроектировать хеш для получения пароля. Поэтому большинство сайтов отправляет Вам странный случайный пароль при потере его: они больше не знают то, что Ваш пароль так, они должны сбросить его к чему-то, что они действительно знают.
Если ProjectLocker действительно хранит Ваш пароль в обратимом формате, существуют различные степени беспокойства, которое Вы должны иметь. Раздраженные сотрудники не являются единственной опасностью; если взломщик может получить дамп базы данных и может определить способ декодировать пароли (если они могут получить дамп DB, они могут, вероятно, получить исходный код), у них будет много паролей. При использовании имени пользователя и пароля, который Вы не используете больше нигде для того сайта, худшее, которое они могут сделать, портят Вашу учетную запись ProjectLocker. Однако многие люди используют то же имя пользователя и подобные пароли для многих различных веб-сайтов; если Вы делаете таким образом, устройство хранения данных пароля в обратимом формате подвергает Вас большим опасностям.
По-моему, если пароль, который Вы используете в ProjectLocker, не подобен паролям, Вы используете на других сайтах, Вы не должны волноваться слишком много. Однако стоило бы озвучить жалобу с ними, потому что это делает его намного более вероятно, который маленькая ошибка в безопасности могла привести к кому-то получающему доступ к Вашей учетной записи.