Nếu một người quên mật khẩu của bạn? Trang gửi email mật khẩu cũ của bạn, đó có phải là bằng chứng chắc chắn rằng họ đã lưu nó trong văn bản thuần túy không?

8

Khi một trang web gửi email mật khẩu cũ của bạn, trái với yêu cầu bạn đặt lại mật khẩu trên trang web, tôi tự hỏi điều đó có nghĩa gì về các biện pháp bảo mật của họ.

Điều này có nghĩa là họ lưu trữ mật khẩu bằng văn bản đơn giản để thuận tiện cho chính họ hoặc họ vẫn có thể sử dụng mã hóa trên mật khẩu?

security  passwords  encryption 
S. Michaels
nguồn
Liên quan đến câu hỏi này - superuser.com/questions/46810/ Kẻ
ChrisF
3
Mã hóa là một quá trình hai chiều, bằng cách nào đó bạn có thể giải mã thông tin được cung cấp đúng khóa. Mật khẩu thường nên sử dụng băm thay vì trong lý thuyết là mã hóa một chiều trong đó mật khẩu dẫn đến một giá trị băm cụ thể - khó hoặc không thể đảo ngược. Khi bạn đăng nhập, mật khẩu đã nhập của bạn được mã hóa theo cùng một cách và được so sánh với giá trị được mã hóa được lưu trữ và cho phép bạn nhập nếu chúng khớp. Trong thực tế, đôi khi bạn có thể đảo ngược quy trình thông qua các quy trình vũ phu khác nhau như sử dụng bảng cầu vồng ...
Oskar Duveborn
2
Cho dù họ có mã hóa hay không, họ vẫn gửi nó trong một email văn bản kế hoạch! Trang web đó không nghiêm trọng hoặc thiếu thông tin về bảo mật dưới bất kỳ hình thức nào. Hy vọng rằng bạn đã không cung cấp cho họ mật khẩu mà bạn sử dụng ở bất kỳ nơi nào khác. Đúng?
DanO
Tôi đã từ bỏ một trang web vì họ khăng khăng gửi email cho tôi tên người dùng và mật khẩu mỗi tháng một lần, cho dù tôi có yêu cầu hay không. Tôi đã gửi mail cho họ nhiều lần để nói với họ rằng đây không phải là thông lệ tốt, sau đó đã từ bỏ.
TRiG

Câu trả lời:

25

Họ có thể đang sử dụng mã hóa khi mật khẩu được lưu trữ trong DB nhưng họ không nên lưu trữ nó ở định dạng có thể truy xuất được, được mã hóa hoặc bằng cách khác.

Họ nên lấy mật khẩu băm một chiều (cộng với một muối ). Điều này có nghĩa là họ có thể kiểm tra mật khẩu bạn nhập bây giờ khớp với mật khẩu bạn đã cung cấp trước đó nhưng họ (hoặc một số cracker có quyền truy cập vào DB của họ) không thể tìm ra nó là gì. Mã hóa mật khẩu có nghĩa là một kẻ bẻ khóa sẽ phải tìm DB khóa mã hóa, nhưng vì khóa phải nằm trên máy chủ phục vụ trang web nên điều này khó có thể tưởng tượng được.

Vì vậy, nếu họ có thể gửi cho bạn mật khẩu của bạn, điều này có nghĩa là họ không tuân theo các thực tiễn tốt nhất về bảo mật nổi tiếng.

Thực tiễn xấu như thế này là một lý do tốt để sử dụng một mật khẩu khác nhau cho mỗi trang web bạn đăng ký tại .

Dave Webb
nguồn
9
BTW, cảm ơn vì đã gọi họ là cracker thay vì tin tặc !
NVRAM
Bên cạnh đó, băm hai chiều được các ngân hàng lớn coi là đủ an toàn để lưu trữ thông tin thẻ tín dụng.
runako
1
@runako: Băm hai chiều là gì? Hàm băm thường mang lại một giá trị có kích thước nhất định, điều đó có nghĩa là không thể tìm thấy lại bản gốc trừ khi bản gốc không lớn hơn giá trị băm.
David Thornley
1
Xin lỗi, đăng sai. Đó phải là "chức năng hai chiều".
runako
19

Ngay cả khi nó được mã hóa và bảo mật, e-mail đó vẫn không an toàn.

Một điều bạn làm bí quyết, bằng cách sử dụng e-mail , mật khẩu của bạn bây giờ đã gần như
chắc chắn được lưu trữ trong văn bản đơn giản tại nhiều khác địa điểm :

  • Trên máy chủ mail của họ
  • Trên máy chủ của nhà cung cấp e-mail của bạn
  • Trong thư mục lưu trữ trình duyệt hoặc e-mail trên máy tính của bạn
  • Trên ổ cứng / nhật ký của bất cứ ai có thể đã "lắng nghe" trên đường đi
  • ... Và hoàn toàn có thể tại bất kỳ bước nhảy Internet nào giữa bạn và trang web đó.
Robert Cartaino
nguồn
1

Như Dave nói, họ có thể và hy vọng đang sử dụng mã hóa, nhưng tôi đã thấy các trang web lưu trữ mật khẩu bằng văn bản thuần túy. Họ cũng có thể tạo mật khẩu tạm thời mới khi bạn nhấn nút Tôi quên mật khẩu của mình, rằng bạn phải thay đổi lần đầu tiên khi đăng nhập bằng mật khẩu. Điểm mấu chốt là bạn không biết họ lưu trữ mật khẩu của bạn như thế nào và trừ khi trang web được lưu trữ bởi cùng một công ty mà bạn nhận được hỗ trợ và họ chỉ có một vài người, chắc chắn bạn sẽ không thể hỏi bất kỳ ai. biết làm thế nào nó được lưu trữ, và ngay cả khi họ đã biết không chắc họ sẽ nói với bạn.

Beaner
nguồn
0

Câu trả lời là KHÔNG - đây không phải là bằng chứng của bất cứ điều gì.

Trong mọi trường hợp, bạn không có cách nào để biết mật khẩu được lưu trữ bên trong như thế nào. Nhiều khả năng họ đang sử dụng một cơ sở dữ liệu như mysql và có thể là họ không được mã hóa bên trong cơ sở dữ liệu. Tuy nhiên, vẫn có khả năng họ đang lưu trữ toàn bộ cơ sở dữ liệu trong một số phương tiện được mã hóa như TrueCrypt . Tất cả những gì bạn có thể làm là hy vọng rằng họ đã thực hiện đủ các biện pháp để bảo vệ quyền riêng tư của bạn.

harrymc
nguồn
6
Bằng chứng là chúng không được lưu trữ được mã hóa bằng hàm băm một chiều và do đó mật khẩu văn bản đơn giản có thể được truy xuất.
NVRAM
1
Truy xuất không giống như văn bản thuần túy. Truy xuất cũng có thể có nghĩa là giải mã. Văn bản thuần có nghĩa là được lưu trữ dưới dạng văn bản đơn giản mà người ta có thể hiển thị mà không cần nỗ lực nhiều.
harrymc
1
Nếu nó có thể được giải mã thì nó không an toàn. Tiếp quản hộp xác thực và bạn có chìa khóa để giải mã mật khẩu của mọi người.
Jeremy L
1
Yah, tiếp quản máy chủ trang web và bạn có thể đăng nhập mật khẩu ngay cả trước khi chúng được băm một chiều. Thôi nào các bạn, bạn đang ngớ ngẩn.
harrymc
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.