Вопросы Теги

Я должен быть заинтересован, хранит ли мой поставщик услуг хостинга Мерзавца пароли в простом тексте?

Я нашел комментарий к Reddit, предполагающей, что ProjectLocker, свободный хост Мерзавца, хранит их пароли в простом тексте.

Я не знаю

  • (a) если это верно
  • (b) как проверить его или
  • (c) насколько взволнованный я должен быть то, если это корректно.

Это могло означать, что для кого-то было бы тривиально легко войти в один из моих частных репозиториев кода?

0
задан 25.09.2009, 22:25

3 ответа

Я работаю в ProjectLocker, и я хотел бы добавить некоторую ясность к этому потоку. Во-первых, для ответа на вопросы OP:

a) Этот слух не верен. ProjectLocker не хранит пароли в простом тексте.

b) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их системам бэкенда.

c) Я был бы справедливо взволнован. Однако я был бы довольно удивлен найти, что любой основной хостинг Подверсии или Мерзавец, размещающий сайты, хранит незашифрованные пароли. Это - просто плохая идея.

Кстати, весь доступ Мерзавца в ProjectLocker использует аутентификацию с открытым ключом и никакие пароли.

Как другие указали, ProjectLocker действительно позволяет пользователям получать потерянные пароли. Мы делаем это путем хранения паролей, зашифрованных с двухсторонней функцией. (Если Вы когда-нибудь проверяете, "сохраняют эту карту для более позднего" поля на веб-сайте электронной коммерции, Ваша кредитная карта хранится тот путь. То же самое идет для сайтов подписки что счет периодически, такой как Netflix.) В целом мы рассматриваем пароли как уязвимые данные, как кредитные карты или клиентские артефакты (код, и т.д.). Существуют справедливые философские дебаты о том, должны ли сайты сохранить пароли в восстановимом формате, но обратная связь от наших пользователей указала, что они предпочитают восстановимые пароли.

Относительно сообщения в Reddit, я могу сказать, что плакат никогда не работал в ProjectLocker и не имеет никакого фактического знания наших систем аутентификации. Плакат, скорее всего, не знаком с двухсторонними функциями и по ошибке путает "обратимый" с "простым текстом".

Наконец, если Вы рассматриваете хостинг Вашего кода с третьим лицом, и Вы не доверяете их ответы на вопрос как это, Вы не должны определенно хранить свой код там. Если Вы не доверяете своему хосту, Вы не должны использовать их вообще, независимо от того, как они хранят Ваш пароль.

8
ответ дан 24.11.2019, 02:39

Если это верно затем, что это - угроза безопасности, поскольку любой с доступом (или способный получить доступ через некоторые средства) сможет считать Ваш пароль.

Вы могли всегда спрашивать ProjectLocker, если комментарий к Reddit верен. Полагаете ли Вы, что их ответ ваше дело.

Однако я не знаю, верно ли это или нет.

2
ответ дан 24.11.2019, 02:39
  • 1
    О, таким образом, это относиться к тому, считать ли люди с доступом на ProjectLocker мой пароль, не внешних пользователей. Я неправильно понимаю, куда риск прибывает из. Я - что всегда нет риска сотрудника в поставщике услуг хостинга, посмотревшем на Ваш материал. Если бы это не находится в простом тексте, то я не предполагаю, что это не было более трудным, но все еще было возможным. Да, я спрашивай их, но я не знаю, сколько веса я мог бы дать их обеспечениям. – S. Michaels 25.09.2009, 17:33
  • 2
    Вопрос затем стал, это безопасное устройство хранения данных простого текста. – ChrisF 25.09.2009, 17:33
  • 3
    Вы подразумевали, что существуют разные уровни безопасности даже при использовании устройства хранения данных простого текста? – S. Michaels 25.09.2009, 17:34
  • 4
    Хорошо сам файл/база данных защищен паролем, но я больше - о том, получен ли кто-то снаружи доступ к базе данных (любыми средствами). Учитывая, что это может быть разглашено, я существую, что хакеры теперь пытаются получить доступ. – ChrisF 25.09.2009, 17:36
  • 5
    незашифрованный пароль, сохраненный на мертвых деревьях и проложенный под землей глубоко в Хранилище 106 в неотмеченном, заблокированном, и охраняемом специальном шкафу со знаком, установленным на двери ", Остерегается леопарда", более безопасен, чем файл UserPasswords.txt, хранивший в/var/www/passwords/, например. – Grant 25.09.2009, 17:49

Один способ проверить, верно ли это, состоит в том, чтобы притвориться упущение пароля. Если хост говорит Вам Ваш текущий пароль вместо того, чтобы сбросить его и дать Вам временный пароль, у Вас есть доказательство, что они хранят его в простом тексте.

править: Комментарий Joshua является правильным: это не категорическое доказательство, что они хранят Ваш пароль в простом тексте, но это - доказательство, что они хранят Ваш пароль в обратимом формате.

Это является самым безопасным для хранения соленого одностороннего хэша пароля. Это тривиально, чтобы хешировать Ваш вход и сравнить его с сохраненным хешем, но невозможный для любого перепроектировать хеш для получения пароля. Поэтому большинство сайтов отправляет Вам странный случайный пароль при потере его: они больше не знают то, что Ваш пароль так, они должны сбросить его к чему-то, что они действительно знают.

Если ProjectLocker действительно хранит Ваш пароль в обратимом формате, существуют различные степени беспокойства, которое Вы должны иметь. Раздраженные сотрудники не являются единственной опасностью; если взломщик может получить дамп базы данных и может определить способ декодировать пароли (если они могут получить дамп DB, они могут, вероятно, получить исходный код), у них будет много паролей. При использовании имени пользователя и пароля, который Вы не используете больше нигде для того сайта, худшее, которое они могут сделать, портят Вашу учетную запись ProjectLocker. Однако многие люди используют то же имя пользователя и подобные пароли для многих различных веб-сайтов; если Вы делаете таким образом, устройство хранения данных пароля в обратимом формате подвергает Вас большим опасностям.

По-моему, если пароль, который Вы используете в ProjectLocker, не подобен паролям, Вы используете на других сайтах, Вы не должны волноваться слишком много. Однако стоило бы озвучить жалобу с ними, потому что это делает его намного более вероятно, который маленькая ошибка в безопасности могла привести к кому-то получающему доступ к Вашей учетной записи.

1
ответ дан 24.11.2019, 02:39
  • 1
    я всегда любил хранение паролей как хеш его, плюс хеш известной строки, плюс хеш случайного числа на основе нескольких факторов от данных пользователя. Вероятно, излишество, но все еще. – Phoshi 25.09.2009, 18:12
  • 2
    я надеюсь, что те 'несколько факторов' не включают пользователя изменяемые данные. Я не хотел бы иметь свою законность пароля, зависящую от моего номера телефона, никогда не изменяющегося. – Grant 25.09.2009, 18:16
  • 3
    DVD ну, я изобразил наблюдение, поскольку Вам нужен Ваш пароль для фактического изменения любых из userchangable данных, которые были не важны, поскольку я могу обновить его затем. – Phoshi 25.09.2009, 18:20
  • 4
    Хороший тест. Они действительно на самом деле отправляют Вам по почте копию Вашего старого пароля из этой ссылки: portal.projectlocker.com/login/lost_password – S. Michaels 25.09.2009, 18:30
  • 5
    , который я не только сказал бы, получаете ли Вы его назад, он хранится в простом тексте. Они могли использовать шифрование вместо хеширования, которое позволит им дешифровать его и отправлять его Вам. Шифрование все еще несколько надежно при хранении в базе данных и уязвимо, когда взломщик может заставить ключ шифрования читать пароли. Лично, я предпочитаю соленый хеш sha1 прямо сейчас (так как легко реализовать в JavaScript, пользовательский пароль никогда не пробегается через провод). – Joshua 25.09.2009, 18:42

Теги

Похожие вопросы