Webhosting công ty có thể xóa mật khẩu?


7

Tối nay tôi đang sử dụng cPanel của một trang web tôi lưu trữ và khi tôi đi đổi mật khẩu, tôi nhận được một cảnh báo rằng tôi không thể thay đổi mật khẩu thành mật khẩu mong muốn vì nó quá giống với mật khẩu trước đây của tôi.

Bây giờ chúng ngay lập tức nhướn mày vì có nghĩa là có thể so sánh chuỗi mật khẩu mới của tôi với mật khẩu trước đó, chúng được lưu trữ trong văn bản thuần túy (chắc chắn không phải cho một công ty lưu trữ web) hoặc được lưu trữ bằng thuật toán có thể được giải mã ( cái nào không thực sự tốt hơn nhiều)?

Hay đây là một vấn đề với cPanel nói chung? Đầu tuần này tôi đã đăng ký một kế hoạch với một công ty .com sử dụng cPanel và tôi nhận thấy khi tôi nhập mật khẩu của mình trên màn hình tiếp theo, nó nói mật khẩu của bạn đã được đổi thành "xxxxx" ... Tôi không biết nếu điều này dữ liệu đã từng được lưu trữ nhưng tôi chưa đặt bất cứ thứ gì lên trang này do lo ngại này.

Có thể là họ đang sử dụng một công nghệ mã hóa như PGP để giải mã mật khẩu?

Tôi đã gửi e-mail cho cả hai công ty yêu cầu làm rõ về vấn đề này nhưng tôi sợ tôi sẽ chỉ nhận được "công ty nói" từ họ.

Tôi không chắc câu hỏi này hoàn toàn phù hợp với cấu trúc Hỏi & Đáp của SO, tuy nhiên bảo mật mật khẩu là một trong những điều quan trọng nhất trên Internet IMO và nếu công ty lưu trữ trang web của bạn có bảo mật kém thì đó là một vấn đề nghiêm trọng.



2
Chỉ cần xác nhận, khi bạn cố gắng thay đổi mật khẩu của mình trong cPanel, nó không hỏi mật khẩu cũ của bạn à?
Ilmari Karonen

Câu trả lời:


5

Giả định của bạn nói chung là đúng. Nhưng bản thân tôi không nhìn vào mã cPanel, tôi không biết tình hình thực tế là gì. Tuy nhiên, có một thứ như băm nhạy cảm cục bộ .

Không giống như một thuật toán băm thông thường, trong đó bạn muốn các thay đổi thậm chí tối thiểu để tạo ra sự khác biệt lớn, băm nhạy cảm cục bộ tạo ra các giá trị băm phản ánh sự giống nhau / khoảng cách giữa các văn bản chưa được chỉnh sửa ban đầu. Nhưng tôi không tin rằng những thứ này thực sự được dùng để băm mật mã. Chúng thường được sử dụng cho các tìm kiếm tương tự (như tìm kiếm hình ảnh).


1

Trước hết PGP được sử dụng để mã hóa bằng khóa riêng và khóa chung. Nó không liên quan gì đến mật khẩu của bạn hoặc thuật toán được sử dụng để mã hóa nó trên máy chủ lưu trữ. Rất có khả năng băm MD5 được sử dụng để lưu trữ mật khẩu. Một phiên bản văn bản rõ ràng có thể được lưu trữ vì lý do duy nhất để ngăn bạn sử dụng các mật khẩu tương tự hoặc tương tự trong tương lai. Công ty lưu trữ của tôi làm cho bạn sử dụng 8 ký tự tối thiểu chữ hoa, chữ thường và một số.

Mặc dù tôi không đồng ý với các công ty sử dụng các phần của mật khẩu để xác minh bạn là chủ sở hữu trang web khi nói chuyện với bộ phận hỗ trợ. IMO thực hành tốt hơn là băm mật khẩu, không lưu trữ phiên bản văn bản rõ ràng và nếu bạn quên mật khẩu, hãy sử dụng mã thông báo để cho phép bạn thay đổi mật khẩu. Và việc băm md5 khớp từ mật khẩu trước với mật khẩu mới đủ đơn giản để ngăn bạn sử dụng cùng một mật khẩu.

Trước khi băm mật khẩu, các công ty có thể chỉ cần kiểm tra xem bạn có đáp ứng các yêu cầu tối thiểu về độ dài và loại ký tự của họ không.

Nếu các công ty đang sử dụng cPanel, bạn sẽ không tìm thấy bất kỳ biến thể nào trong thuật toán mật khẩu. Vì vậy, bạn có thể nhìn vào GoDaddy và những người khác có bảng điều khiển riêng.


1

Có thể họ đang lưu trữ băm các phần mật khẩu của bạn. Điều đó có thể cho phép họ phát hiện sự tương đồng mà không cần lưu trữ mật khẩu của bạn, hoặc bất kỳ phần nào, như là văn bản rõ ràng, nhưng tôi nghĩ nó cũng đánh bại sự bảo mật của việc băm mật khẩu, ít nhất là phần nào.


0

Có vẻ như bằng cách nào đó, một phiên bản rõ ràng của mật khẩu của bạn có thể truy xuất lại được, đó là thông lệ xấu.

Hy vọng rằng mật khẩu của bạn được mã hóa ít nhất, nhưng người ta không nên tin vào nó.

Thật tốt khi bạn chỉ ra điều này cho webhost của bạn!


3
Nếu hệ thống lưu trữ các giá trị băm trước đó, nó sẽ không thể xác định độ tương tự, chỉ khi chúng giống hệt nhau. Các chuỗi tương tự trả về các giá trị băm khác nhau rất lớn, đây là một yếu tố quan trọng trong bất kỳ thuật toán băm nào.
MrWhite

Ồ, tôi đã bỏ lỡ rằng nó liên quan đến sự tương tự mật khẩu. Sẽ chỉnh sửa câu trả lời.
Alasjo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.