Если «забыли пароль?» страница отправляет ваш старый пароль по электронной почте, является ли это убедительным доказательством того, что они сохранили его в виде простого текста?


8

Когда сайт отправляет ваш старый пароль по электронной почте, в отличие от необходимости сбрасывать его на сайте, мне интересно, что это означает в отношении их мер безопасности.

Означает ли это, что они хранят пароль в виде простого текста для собственного удобства или они все еще могут использовать шифрование в пароле?


Связанный с этим вопросом - superuser.com/questions/46810/…
ChrisF

3
Шифрование - это двусторонний процесс, в котором вы каким-то образом можете расшифровать информацию, указав правильный ключ. Пароли обычно должны использовать хеширование, которое теоретически является односторонним кодированием, где пароль приводит к определенному значению хеша, которое трудно или невозможно изменить. Когда вы входите в систему, ваш введенный пароль кодируется таким же образом и сравнивается с сохраненным закодированным значением и позволяет вам войти, если они совпадают. На практике вы иногда можете повернуть процесс вспять с помощью различных процессов грубой силы, например, используя радужные таблицы ...
Оскар Дювеборн,

2
Независимо от того, зашифрованы они или нет, они отправили это по электронной почте в виде плана! Этот сайт не имеет никакого отношения к безопасности. Надеюсь, вы не дали им пароль, который вы используете где-либо еще. Правильно?
DanO

Я отказался от сайта, потому что они настаивали на том, чтобы раз в месяц отправлять мне по электронной почте мое имя пользователя и пароль, независимо от того, просил я об этом или нет. Я несколько раз написал им по электронной почте, чтобы сказать, что это нехорошая практика, а затем сдался.
TRiG

Ответы:


25

Они могут использовать шифрование, когда пароль хранится в БД, но им вообще не следует хранить его в извлекаемом формате, зашифрованном или иным образом.

Они должны использовать односторонний хэш пароля (плюс соль ). Это означает, что они могут проверить, что введенный вами сейчас пароль совпадает с тем, который вы указали ранее, но они (или какой-нибудь взломщик с доступом к своей БД) не могут выяснить, что это такое. Шифрование пароля означает, что взломщик должен будет найти БД и ключ шифрования, но поскольку ключ должен находиться на сервере, обслуживающем веб-сайт, это вряд ли возможно.

Поэтому, если они могут выслать вам ваш пароль, это означает, что они не следуют хорошо известным рекомендациям по безопасности.

Такая плохая практика является хорошей причиной для использования разных паролей для каждого сайта, на котором вы регистрируетесь .


9
Кстати, спасибо, что назвали их взломщиками, а не хакерами !
NVRAM

Кроме того, крупные банки считают двусторонние хэши достаточно безопасными для хранения информации о кредитных картах.
runako 25.09.09

1
@runako: Что такое двусторонний хэш? Хеш-функция обычно выдает значение определенного размера, что означает, что оригинал не может быть найден снова, если оригинал не больше хеш-значения.
Дэвид Торнли

1
Извините, неверный пост. Это должна была быть «двусторонняя функция».
runako 25.09.09

19

Даже если он будет зашифрован и безопасно, что электронная почта была ни в коей мере обеспечить.

Одна вещь , которую вы делаете знаете, с помощью электронной почты , пароль теперь почти ,
конечно , хранится в виде обычного текста на многих других местах :

  • На их почтовом сервере
  • На сервере вашего почтового провайдера
  • В браузере вашего компьютера или в директориях хранения электронной почты
  • На жестком диске / в журналах всех, кто мог «прислушиваться» по пути
  • ... и, возможно, в любой интернет-переход между вами и этим сайтом.

1

Как сказал Дейв, они могут и, надеюсь, использовать шифрование, но я видел сайты, которые хранят пароли в виде простого текста. Они также могут генерировать новый временный пароль, когда вы нажимаете кнопку «Я забыл свой пароль», которую вы должны изменить при первом входе в систему. Суть в том, что вы не знаете, как они хранят ваш пароль, и если сайт не принадлежит той же компании, от которой вы получаете поддержку, и у них всего несколько человек, вряд ли вы сможете спросить кого-нибудь, кто бы знать, как оно хранится, и даже если бы они знали, вряд ли они скажут вам.


0

Ответ НЕТ - это не доказательство чего-либо.

В любом случае у вас нет возможности узнать, как пароли хранятся внутри. Скорее всего, они используют базу данных, такую ​​как mysql, и, возможно, они не зашифрованы внутри базы данных. Однако все еще возможно, что они сознательно хранят всю базу данных на некоторых зашифрованных носителях, таких как TrueCrypt . Все, что вы можете сделать, это надеяться, что они приняли достаточно мер для защиты вашей конфиденциальности.


6
Это доказательство того, что они не хранятся в зашифрованном виде с односторонним хэшем, и, следовательно, пароль может быть получен в виде простого текста.
NVRAM

1
Получено не то же самое, что обычный текст. Полученный также может означать расшифрованный. Обычный текст означает сохраненный как простой текст, который можно отобразить без особых усилий.
harrymc

1
Если это может быть расшифровано, то это не безопасно. Возьмите окно аутентификации, и у вас есть ключи для расшифровки паролей всех пользователей.
Джереми Л

1
Да, захватите сервер сайта, и вы сможете регистрировать пароли даже до того, как они будут односторонне хешированы. Давай, ребята, вы глупы.
Harrymc
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.