Jeśli „zapomniałeś hasła?” strona przesyła stare twoje hasło e-mailem, czy jest to ostateczny dowód, że przechowują je jako zwykły tekst?

8

Gdy witryna przesyła stare hasło e-mailem, w przeciwieństwie do konieczności resetowania go w witrynie, zastanawiam się, co to oznacza o ich środkach bezpieczeństwa.

Czy to oznacza, że ​​przechowują hasło w postaci zwykłego tekstu dla własnej wygody, czy nadal mogą używać szyfrowania hasła?

security passwords encryption S. Michaels
źródło
Powiązane z tym pytaniem - superuser.com/questions/46810/…
ChrisF 25.09.09
3
Szyfrowanie jest procesem dwukierunkowym, w którym można w jakiś sposób odszyfrować informacje, podając prawidłowy klucz. Hasła powinny normalnie używać haszowania, które teoretycznie jest kodowaniem jednokierunkowym, w którym hasło daje określoną wartość skrótu - której odwrócenie jest trudne lub niemożliwe. Po zalogowaniu się, wprowadzone hasło jest kodowane w ten sam sposób i porównywane z zapisaną zakodowaną wartością i pozwala ci się dopasować. W praktyce możesz czasem odwrócić ten proces za pomocą różnych procesów siłowych, takich jak użycie tęczowych tabel ...
Oskar Duveborn 25.09.2009
2
Niezależnie od tego, czy mieli to zaszyfrowane, wysłali je w wiadomości e-mail z planem! Ta strona internetowa nie jest w żaden sposób poważna ani nie ma pojęcia o bezpieczeństwie. Mam nadzieję, że nie dałeś im hasła, którego używasz nigdzie indziej. Dobrze?
DanO
Porzuciłem witrynę, ponieważ nalegali na wysłanie mi e-mailem mojej nazwy użytkownika i hasła raz w miesiącu, niezależnie od tego, czy poprosiłem o to, czy nie. Kilka razy wysłałem im e-mail z informacją, że to nie jest dobra praktyka, a potem się poddałem.
TRiG,

Odpowiedzi:

25

Mogą używać szyfrowania, gdy hasło jest przechowywane w bazie danych, ale nie powinny w ogóle przechowywać go w formacie możliwym do odzyskania, zaszyfrowanym lub w inny sposób.

Powinny brać jednokierunkowy skrót hasła (plus sól ). Oznacza to, że mogą sprawdzić hasło, które teraz wpisujesz, jest zgodne z tym, które podałeś wcześniej, ale oni (lub jakiś cracker z dostępem do ich bazy danych) nie mogą dowiedzieć się, co to jest. Szyfrowanie hasła oznacza, że ​​cracker musiałby znaleźć bazę danych i klucz szyfrujący, ale ponieważ klucz musi znajdować się na serwerze obsługującym stronę internetową, nie jest to niemożliwe.

Jeśli więc mogą wysłać ci hasło, oznacza to, że nie przestrzegają dobrze znanych najlepszych praktyk bezpieczeństwa.

Taka zła praktyka jest dobrym powodem do używania innego hasła dla każdej witryny, na której się rejestrujesz .

Dave Webb
źródło
9
BTW, dzięki za nazwanie ich crackerami zamiast hakerami !
NVRAM,
Nawiasem mówiąc, duże banki uważają za wystarczające zabezpieczenia do przechowywania informacji o karcie kredytowej.
runako
1
@runako: Co to jest dwukierunkowy skrót? Funkcja skrótu zwykle daje wartość określonego rozmiaru, co oznacza, że ​​oryginału nie można znaleźć ponownie, chyba że oryginał nie jest większy niż wartość skrótu.
David Thornley,
1
Przepraszamy, wysłano błędnie. To powinna była być „funkcja dwukierunkowa”.
runako
19

Nawet jeśli jest zaszyfrowany i bezpieczny, ten e-mail nie był w żaden sposób bezpieczny.

Jedną rzeczą, jaką można zrobić, wiedzą, za pomocą e-mail , hasło jest teraz prawie
na pewno przechowywane w postaci zwykłego tekstu w wielu innych miejscach :

  • Na ich serwerze pocztowym
  • Na serwerze dostawcy poczty e-mail
  • W przeglądarce komputera lub w katalogach do przechowywania wiadomości e-mail
  • Na dysku twardym / logach każdego, kto mógł po drodze „nasłuchiwać”
  • ... i całkiem możliwe na każdym przeskoku internetowym między tobą a tą witryną.
Robert Cartaino
źródło
1

Jak powiedział Dave, mogli i mam nadzieję, że używają szyfrowania, ale widziałem strony, które przechowują hasła w postaci zwykłego tekstu. Mogą również wygenerować nowe hasło tymczasowe po naciśnięciu przycisku Zapomniałem hasła, które musisz zmienić przy pierwszym logowaniu. Najważniejsze jest to, że nie wiesz, w jaki sposób przechowują twoje hasło i jeśli witryna nie jest hostowana przez tę samą firmę, od której otrzymujesz wsparcie, i mają tylko kilka osób, jest mało prawdopodobne, abyś mógł zapytać kogokolwiek, kto by wiedzieć, jak jest przechowywany, a nawet gdyby wiedzieli, że jest mało prawdopodobne, powiedzieliby ci.

Fasola
źródło
0

Odpowiedź brzmi NIE - to nie jest dowód na nic.

W każdym razie nie masz możliwości dowiedzenia się, jak hasła są przechowywane wewnętrznie. Najprawdopodobniej używają bazy danych takiej jak mysql i być może nie są zaszyfrowani w bazie danych. Nadal jednak możliwe jest, że świadomie przechowują całą bazę danych na niektórych zaszyfrowanych nośnikach, takich jak TrueCrypt . Wszystko, co możesz zrobić, to mieć nadzieję, że podjęli wystarczające środki w celu ochrony Twojej prywatności.

harrymc
źródło
6
Jest to dowód na to, że nie są przechowywane w postaci zaszyfrowanej jednokierunkowym haszem, dlatego hasło zwykłego tekstu można odzyskać.
NVRAM,
1
Odzyskane to nie to samo, co zwykły tekst. Odzyskane mogą również oznaczać odszyfrowane. Zwykły tekst oznacza przechowywany jako prosty tekst, który można wyświetlić bez większego wysiłku.
harrymc
1
Jeśli można go odszyfrować, nie jest to bezpieczne. Przejmij pole uwierzytelniania, a będziesz mieć klucze do odszyfrowania haseł wszystkich użytkowników.
Jeremy L
1
Tak, przejmij serwer witryny i możesz rejestrować hasła, nawet zanim zostaną one jednokierunkowe. Chodźcie chłopaki, jesteście głupi.
harrymc