หาก“ ลืมรหัสผ่านของคุณ?” หน้าอีเมลรหัสผ่านเก่าของคุณเป็นหลักฐานที่ชัดเจนว่าพวกเขาได้เก็บไว้ในข้อความธรรมดา?

8

เมื่อไซต์ส่งอีเมลรหัสผ่านเก่าของคุณซึ่งไม่ใช่การกำหนดให้คุณรีเซ็ตรหัสผ่านบนไซต์ฉันสงสัยว่าสิ่งใดที่เกี่ยวข้องกับมาตรการรักษาความปลอดภัย

นี่หมายความว่าพวกเขาเก็บรหัสผ่านเป็นข้อความธรรมดาเพื่อความสะดวกของพวกเขาเองหรือพวกเขายังสามารถใช้การเข้ารหัสรหัสผ่านได้หรือไม่?

security passwords encryption

— เอสมิคาเอล
แหล่งที่มา

เกี่ยวข้องกับคำถามนี้ - superuser.com/questions/46810/…

— ChrisF

3

การเข้ารหัสเป็นกระบวนการสองทางที่คุณสามารถถอดรหัสข้อมูลที่ได้รับจากคีย์ที่ถูกต้อง รหัสผ่านควรใช้การแฮชแทนซึ่งในทางทฤษฎีแล้วเป็นการเข้ารหัสแบบทางเดียวซึ่งรหัสผ่านนั้นส่งผลให้มีค่าแฮชที่เฉพาะเจาะจงซึ่งยากหรือไม่สามารถย้อนกลับได้ เมื่อคุณเข้าสู่ระบบรหัสผ่านที่คุณป้อนจะถูกเข้ารหัสในลักษณะเดียวกันและเปรียบเทียบกับค่ารหัสที่จัดเก็บไว้และให้คุณเข้าใช้หากตรงกัน ในทางปฏิบัติบางครั้งคุณสามารถย้อนกลับกระบวนการผ่านกระบวนการแรงเดรัจฉานต่างๆเช่นการใช้ตารางรุ้ง ...

— Oskar Duveborn

2

ไม่ว่าพวกเขาจะมีมันเข้ารหัสหรือไม่พวกเขาส่งมันในอีเมลแผนข้อความ! เว็บไซต์นั้นไม่ร้ายแรงหรือเกี่ยวกับความปลอดภัย แต่อย่างใด หวังว่าคุณจะไม่ได้ให้รหัสผ่านที่คุณใช้กับที่อื่น ขวา?

— DanO

ฉันละทิ้งเว็บไซต์เพราะพวกเขายืนยันในการส่งอีเมลชื่อผู้ใช้และรหัสผ่านให้ฉันเดือนละครั้งไม่ว่าจะถามฉันหรือไม่ก็ตาม ฉันส่งอีเมลไปหาพวกเขาหลายครั้งเพื่อบอกพวกเขาว่านี่ไม่ใช่วิธีปฏิบัติที่ดีแล้วละก็

— TRiG

25

พวกเขาอาจใช้การเข้ารหัสเมื่อรหัสผ่านถูกเก็บไว้ในฐานข้อมูล แต่ไม่ควรเก็บไว้ในรูปแบบที่เรียกคืนได้ทั้งหมดเข้ารหัสหรืออย่างอื่น

พวกเขาควรจะทำการแฮชของรหัสผ่านทางเดียว (รวมถึงเกลือ ) ซึ่งหมายความว่าพวกเขาสามารถตรวจสอบรหัสผ่านที่คุณป้อนตอนนี้ตรงกับที่คุณให้ไว้ก่อนหน้า แต่พวกเขา (หรือแครกเกอร์บางคนที่เข้าถึงฐานข้อมูลของพวกเขา) ไม่สามารถหาได้ว่ามันคืออะไร การเข้ารหัสรหัสผ่านหมายถึงแคร็กเกอร์จะต้องค้นหาฐานข้อมูลและคีย์การเข้ารหัส แต่เนื่องจากคีย์ต้องอยู่บนเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์จึงแทบจะนึกไม่ถึง

ดังนั้นหากพวกเขาสามารถส่งรหัสผ่านให้คุณได้หมายความว่าพวกเขาไม่ปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่เป็นที่รู้จักกันดี

การปฏิบัติที่ไม่ดีเช่นนี้เป็นเหตุผลที่ดีสำหรับการใช้รหัสผ่านที่แตกต่างกันสำหรับเว็บไซต์ที่คุณลงทะเบียนได้ที่ทุก

— เดฟเวบบ์
แหล่งที่มา

9

BTW ขอบคุณที่เรียกพวกเขาว่าแครกเกอร์แทนที่จะเป็นแฮ็กเกอร์ !

— NVRAM

นอกเหนือจากนี้แฮ็กสองทางได้รับการพิจารณาจากธนาคารรายใหญ่ว่ามีความปลอดภัยเพียงพอสำหรับการจัดเก็บข้อมูลบัตรเครดิต

— runako

1

@runako: แฮชสองทางคืออะไร ฟังก์ชั่นแฮชมักจะให้ค่าที่มีขนาดที่แน่นอนซึ่งหมายความว่าไม่สามารถหาต้นฉบับได้อีกเว้นแต่ว่าค่าดั้งเดิมจะไม่ใหญ่กว่าค่าแฮช

— David Thornley

1

ขออภัยโพสต์ผิด นั่นควรเป็น "ฟังก์ชันสองทาง"

— runako

19

แม้ว่ามันจะถูกเข้ารหัสและปลอดภัย แต่อีเมลนั้นก็ไม่ได้ปลอดภัย

สิ่งหนึ่งที่คุณทำรู้โดยใช้อีเมล , รหัสผ่านของคุณตอนนี้เกือบ
แน่นอนเก็บไว้ในข้อความธรรมดาที่หลายอื่น ๆสถานที่ :

บนเซิร์ฟเวอร์อีเมลของพวกเขา
บนเซิร์ฟเวอร์ของผู้ให้บริการอีเมลของคุณ
ในเบราว์เซอร์ของคอมพิวเตอร์ของคุณหรือไดเรกทอรีเก็บข้อมูลอีเมล
บนฮาร์ดไดรฟ์ / บันทึกของทุกคนที่อาจ "ฟัง" อยู่ระหว่างทาง
... และอาจเป็นไปได้ที่อินเทอร์เน็ตใด ๆ ที่กระโดดระหว่างคุณและเว็บไซต์นั้น

— Robert Cartaino
แหล่งที่มา

1

ดังที่เดฟกล่าวว่าพวกเขาทำได้และหวังว่าจะใช้การเข้ารหัส แต่ฉันเคยเห็นไซต์ที่เก็บรหัสผ่านเป็นข้อความธรรมดา พวกเขายังสามารถสร้างรหัสผ่านชั่วคราวใหม่เมื่อคุณกดปุ่มฉันลืมรหัสผ่านของฉันคุณต้องเปลี่ยนครั้งแรกที่คุณเข้าสู่ระบบด้วย บรรทัดล่างคือคุณไม่รู้วิธีที่พวกเขาเก็บรหัสผ่านของคุณและถ้าเว็บไซต์นั้นโฮสต์โดย บริษัท เดียวกันกับที่คุณได้รับการสนับสนุนและพวกเขามีเพียงไม่กี่คนมันไม่น่าเป็นไปได้ที่คุณจะสามารถถามใครก็ได้ที่จะ รู้ว่ามันถูกเก็บไว้อย่างไรและแม้ว่าพวกเขาจะรู้ว่ามันไม่น่าเป็นไปได้ที่พวกเขาจะบอกคุณ

— Beaner
แหล่งที่มา

0

คำตอบคือไม่ - นี่ไม่ใช่ข้อพิสูจน์อะไรเลย

ไม่ว่าในกรณีใดคุณไม่มีทางรู้ว่ารหัสผ่านจะถูกเก็บไว้ภายในอย่างไร ส่วนใหญ่แล้วพวกเขากำลังใช้ฐานข้อมูลเช่น mysql และอาจเป็นเพราะพวกเขาไม่ได้เข้ารหัสภายในฐานข้อมูล แต่ก็คงเป็นไปได้ที่พวกเขาจะรู้ตัวการจัดเก็บฐานข้อมูลทั้งหมดในสื่อการเข้ารหัสบางอย่างเช่นTrueCrypt สิ่งที่คุณทำได้คือหวังว่าพวกเขาจะใช้มาตรการที่เพียงพอเพื่อปกป้องความเป็นส่วนตัวของคุณ

— harrymc
แหล่งที่มา

6

มันเป็นหลักฐานว่าพวกเขาไม่ได้ถูกเข้ารหัสด้วยแฮชแบบทางเดียวและด้วยเหตุนี้จึงสามารถดึงรหัสผ่านข้อความธรรมดาได้

— NVRAM

1

เรียกคืนไม่เหมือนกับข้อความธรรมดา เรียกคืนยังสามารถหมายถึงการถอดรหัส ข้อความธรรมดาหมายถึงเก็บไว้เป็นข้อความธรรมดาที่สามารถแสดงได้โดยไม่ต้องใช้ความพยายามมาก

— harrymc

1

หากสามารถถอดรหัสได้แสดงว่าไม่ปลอดภัย ครอบครองกล่องรับรองความถูกต้องและคุณมีกุญแจเพื่อถอดรหัสรหัสผ่านของทุกคน

— Jeremy L

1

ย่ะรับช่วงเซิร์ฟเวอร์ไซต์และคุณสามารถบันทึกรหัสผ่านได้แม้กระทั่งก่อนที่พวกเขาจะถูกแฮชทางเดียว Come on guys คุณกำลังโง่

— harrymc