Netflix รู้รหัสผ่านของฉันได้อย่างไร


8

เมื่อใดก็ตามที่ฉันไปที่หน้าหลัก Netflix ใน Firefox ฉันจะเข้าสู่ระบบโดยอัตโนมัติ

อย่างไรก็ตามเมื่อฉันเปิดรายการรหัสผ่านที่บันทึกไว้ของ Firefox ฉันสังเกตว่า Netflix ไม่ได้อยู่ในเว็บไซต์ที่ Firefox เก็บรหัสผ่านไว้สำหรับ ( Options -> Security -> Saved Passwords)

Netflix จะทราบรหัสผ่านได้อย่างไรหาก Firefox ไม่ได้จัดเก็บและจะจัดเก็บไว้ที่ไหน?


21
ฉันไม่เห็นว่าส่วนใดของสถานการณ์นี้ทำให้คุณคิดว่าพวกเขารู้รหัสผ่านของคุณ โดยพื้นฐานแล้วสิ่งที่คุณพูดคือ "ฉันเพิ่งได้ Chromecast" และ "Firefox ยังไม่ได้บันทึกรหัสผ่าน Netflix ของฉัน" ข้อเท็จจริงเกี่ยวกับสองสิ่งที่ทำให้คุณเชื่อว่า Netflix มีรหัสผ่านของคุณคืออะไร ฉันเดาว่าความเข้าใจผิดนี้เกิดขึ้นจากสิ่งอื่นนอกเหนือจากที่คุณระบุไว้ในคำถามปัจจุบันของคุณ บางทีคุณสามารถแก้ไขเพื่ออธิบายว่า "บางสิ่ง" นั้นคืออะไร?
Ajedi32

1
@ Ajedi32 สุจริตฉันเพิ่งมีความเข้าใจผิดทางจิตและคิดว่าเพราะฉันเข้าสู่ระบบทุกครั้งที่ฉันเปิด Netflix มันเป็น Firefox ที่เข้าสู่ระบบ ลืมไปเลยว่าคุกกี้เป็นเรื่องสำคัญ
Raven Dreamer

4
ดังนั้นในความเป็นจริง Chromecast ไม่เกี่ยวข้องอย่างสมบูรณ์
David Z

@DavidZ ถ้าไม่มีใครมีข้อมูลเกี่ยวกับวิธีการใช้งานผ่าน Firefox ... ใช่
Raven Dreamer

@RavenDreamer นั่นจะเป็นคำถามที่แตกต่าง; ไม่เกี่ยวข้องดังนั้นโดยไม่คำนึงถึง
OJFord

คำตอบ:


31

ที่จะตอบคำถามแรกของคุณ, Netflix ไม่ทราบรหัสผ่านของคุณ

Netflix และเว็บไซต์ที่มีความสามารถอื่น ๆ อะไรที่มีอยู่คือแฮชรหัสผ่านของคุณโดยใช้รูปแบบการแฮชแบบทางเดียว ( MD5 , SHA-1 , SHA-2และอื่น ๆ )

สิ่งนี้ทำคือสร้างลายนิ้วมือเลขฐานสิบหกที่มีความยาวคงที่เป็นเอกลักษณ์ซึ่งระบุสตริงข้อความที่เป็นรหัสผ่านของคุณ ตัวอย่างเช่นต่อไปนี้เป็นสิ่งที่รหัสผ่านความปลอดภัยของฉันดูเหมือนหลังจากถูกแฮชด้วย MD5:

MD5 hashing

พวกเขาเก็บแฮชนี้ในฐานข้อมูลภายในและทุกครั้งที่คุณลงชื่อเข้าใช้ Netflix รหัสผ่านที่คุณให้ในระหว่างกระบวนการเข้าสู่ระบบจะถูกแฮชอีกครั้งโดยใช้ชุดรูปแบบเดียวกันและจับคู่กับสำเนาของรหัสผ่านที่เก็บไว้ในฐานข้อมูล

หากพวกเขาตรงกันพวกเขารู้ว่าคุณได้ป้อนรหัสผ่านที่ถูกต้องและคุณได้รับสิทธิ์การเข้าถึง หากไม่เป็นเช่นนั้นคุณจะไม่ได้รับการตรวจสอบสิทธิ์ นี่คือสาเหตุที่เมื่อคุณคลิกที่ลิงค์รูปแบบลืมรหัสผ่านพวกเขาจะไม่ส่งรหัสผ่านเก่าของคุณ แต่ขอให้คุณเลือกรหัสผ่านใหม่ เป็นเพราะพวกเขาไม่รู้ว่ารหัสผ่านของคุณคืออะไร

ดังนั้นคุณจะเข้าสู่ระบบได้อย่างไรหาก Firefox ไม่ได้จัดเก็บรหัสผ่านสำหรับ Netflix

คำตอบที่เป็นคุกกี้เซสชั่น เมื่อคุณลงชื่อเข้าใช้ Netflix (อาจจะนานมาแล้ว) คุณอาจเลือกที่จะจดจำเซสชันของคุณ
จดจำฉัน?

หากคุณทำเช่นนั้น Firefox จะเก็บข้อมูลเล็ก ๆ น้อย ๆ ไว้ในคอมพิวเตอร์ของคุณซึ่งจะระบุตัวคุณโดยเฉพาะเมื่อใดก็ตามที่คุณเยี่ยมชม Netflix 'คุกกี้' เหล่านี้เนื่องจากถูกเรียกใช้โดยทั่วไปจะคงอยู่ในช่วงเวลาสั้น ๆ จนกว่าเซสชันจะเปิดใช้งานและหมดอายุ บางคนอาจสัปดาห์ที่ผ่านมาหรือนานกว่านั้น ลบคุกกี้นั้นและ Netflix จะไม่จดจำคุณ

คุกกี้ Netflix

เกี่ยวกับคำถามที่สองของคุณหาก Firefox จำรหัสผ่านไม่ได้ สิ่งที่เก็บไว้คือคุกกี้ Firefox เก็บไว้ในโฟลเดอร์โปรไฟล์ในไฟล์cookies.sqliteซึ่งเป็นไฟล์ฐานข้อมูลSQLite

สุดท้ายถ้าคุณเลือกที่จะเข้าสู่ระบบผ่านบัญชี Facebook ของคุณคุณไม่จำเป็นต้องใช้รหัสผ่านดังนั้น Firefox จะไม่เก็บไว้

เข้าสู่ระบบโดยใช้ Facebook

อย่างไรก็ตามคุกกี้จะยังคงถูกสร้างขึ้นเพื่อระบุเซสชันของคุณ


23
MD5 เป็นทางเดียวเพราะเป็นฟังก์ชันแฮช การบอกว่ามันไม่ได้หมายความว่าคุณจะได้รับข้อมูลต้นฉบับจากการแฮช MD5 ผ่านกระบวนการเข้ารหัส คุณทำไม่ได้ เครื่องมือที่คุณพูดถึงสามารถ 'ย้อนกลับ' การแฮชได้เพียงเพราะพวกเขาลงทุนพลังงานคอมพิวเตอร์จำนวนมากเพื่อบังคับให้ใช้รหัสผ่านทุกประเภทเพื่อมาถึงสตริงรหัสผ่านดั้งเดิม นี่ไม่ได้หมายความว่า MD5 สามารถย้อนกลับได้ การแฮชแตกต่างจากการเข้ารหัสซึ่งคุณสามารถถอดรหัสข้อมูลได้หากคุณมีกุญแจ ด้วยการแปลงแป้นพิมพ์ไม่ว่าอินพุตจะยาวแค่ไหนเอาต์พุตก็จะมีความยาวคงที่เสมอ
Vinayak

16
@Derek 朕會功夫 MD5 มีการเข้ารหัส "แตก" แต่เป็นเรื่องเกี่ยวกับการชนไม่ใช่ภาพก่อน (ซึ่งสำคัญสำหรับรหัสผ่าน) MD5 ก็ไม่ดีสำหรับรหัสผ่าน แต่นี่เป็นเพราะมันเร็วดังนั้นคุณจึงสามารถบังคับรหัสผ่านจำนวนมากได้ในเวลาอันสั้น (และนี่ก็เหมือนกันสำหรับฟังก์ชันแฮชที่ทันสมัยกว่าเช่น SHA-2 และ SHA -3) ดูcrypto.stackexchange.com/a/28/58
Paŭlo Ebermann

9
ฉันต้อง downvote เพียงตัวอย่าง MD5 แต่คำตอบที่เหลืออาจดี นี่ไม่ใช่สิ่งที่คุณต้องการอ่านในปี 2014 (เร็ว ๆ นี้จะเป็น 2015) เป็นความคิดที่ดีที่จะใช้ MD5 ดิบ (แม้กระทั่งเกลือ) เพื่อจัดเก็บรหัสผ่านและผู้คนส่วนใหญ่ก็ตระหนักว่าในช่วง 10 ปีที่ผ่านมา -1
โทมัส

8
@ โทมัสฉันขอโทษที่คุณรู้สึกอย่างนั้น แต่คำตอบของฉันไม่ควรจะเป็นแนวทางในการเลือกรูปแบบการแฮ็กที่ดีที่สุด SuperUser ไม่ใช่ StackOverflow และชอบหรือไม่ MD5 ยังคงเป็นฟังก์ชันแฮชการเข้ารหัสดังนั้นฉันจึงไม่เห็นว่ามีอะไรผิดปกติในการอธิบายว่าแฮชนั้นมีอะไรบ้างกับตัวอย่างของ MD5
Vinayak

7
@kasperd "และในความเป็นจริงมาจนถึงทุกวันนี้โดยใช้การเรียกใช้ MD5 เพียงครั้งเดียวด้วยเกลือก็ยังคงปลอดภัยสำหรับผู้ใช้ที่ใช้รหัสผ่านที่ดี" ไม่กรุณาอย่าเผยแพร่ข้อมูลที่ผิด การเรียก MD5 เพียงครั้งเดียวนั้นไม่เพียงพอ
Ayrx

10

Netflix - เช่นเดียวกับเว็บไซต์อื่น ๆ ส่วนใหญ่ไม่สนใจรหัสผ่านของคุณในระหว่างการเบราส์ปกติ เมื่อคุณเข้าสู่ระบบ Netflix จะมีเบราว์เซอร์ที่จัดเก็บ 'คุกกี้' ไว้ด้วย ID เซสชันการเข้าสู่ระบบแทน เบราว์เซอร์จะส่งกลับทุกครั้งที่มีการร้องขอหน้าใหม่ (เช่นเดียวกันที่เก็บรหัสผ่านใน Firefox จะไม่ถูกใช้ในระหว่างการเบราส์ปกติ แต่จะเป็นการกรอกฟิลด์รหัสผ่านอัตโนมัติในหน้าเข้าสู่ระบบเท่านั้น)

คุกกี้เซสชันมักจะสร้างแบบสุ่มและไม่มีความสัมพันธ์ใด ๆ กับการเข้าสู่ระบบหรือรหัสผ่านของคุณ - เฉพาะ Netflix เท่านั้นที่สามารถเชื่อมโยงกับบัญชีของคุณ

หากต้องการดูให้คลิกขวาที่หน้าเลือก "ดูข้อมูลหน้า" และภายใต้ "ความปลอดภัย" คลิก "ดูคุกกี้"


5

ไม่มีอะไรผิดปกติกับ Netflix เช่นเดียวกับเว็บไซต์เกือบทั้งหมดที่คุณสามารถเข้าสู่ระบบได้มันจะจัดเก็บคุกกี้ไว้ในพีซีของคุณซึ่งเก็บข้อมูลที่เข้ารหัสซึ่งแสดงรหัสผ่านของคุณ

คุณไม่เคยเห็นพฤติกรรมแบบเดียวกันบน Google, Facebook, Yahoo, Windows Live และบัญชีใดที่คุณอาจนึกถึง

บริการเว็บบางอย่างอาจใช้คุกกี้ที่ใช้ได้เฉพาะในช่วงเวลาสั้น ๆ หรือเฉพาะในเซสชันปัจจุบัน (เช่น Yahoo และ Facebook เว้นแต่คุณจะเลือกตัวเลือกจดจำฉันในคอมพิวเตอร์เครื่องนี้ ) แต่เห็นได้ชัดว่า Netflix ใช้คุกกี้ที่ถูกต้องเป็นระยะเวลานานซึ่งทำให้คุณเข้าสู่ระบบเว้นแต่ว่าคุณจะลบประวัติเบราว์เซอร์ของคุณ - โดยเฉพาะคุกกี้

ตอนนี้คุณอาจถามว่าการใช้รหัสผ่านในเบราว์เซอร์คืออะไร นั่นง่ายมาก หากคุณออกจากระบบ Netflix (หรืออะไรก็ตาม) คุกกี้จะถูกลบ หากคุณต้องการเข้าสู่ระบบอีกครั้งคุณจะต้องป้อนทั้งชื่อผู้ใช้บัญชีและรหัสผ่าน หากคุณบันทึกรหัสผ่านของคุณในเบราว์เซอร์มันจะเติมข้อมูลให้โดยอัตโนมัติเมื่อคุณพิมพ์ชื่อผู้ใช้


10
ชี้แจง - คุกกี้ไม่มีข้อมูลใด ๆ ที่แสดงถึงรหัสผ่าน ค่อนข้างจะมีข้อมูลแบบสุ่มที่ระบุเซสชันที่เชื่อมโยงกับบัญชีของคุณ เซสชันถูกเก็บไว้บนเซิร์ฟเวอร์
ntoskrnl

0

คุณตรวจสอบคุกกี้ของคุณหรือยัง อาจมีรหัสผ่านหรือสำเนารหัสผ่านที่เข้ารหัสของคุณ


5
นั่นจะเป็นการออกแบบที่ไม่ปลอดภัยอย่างมาก การปฏิบัติทั่วไปคือการใช้คุกกี้เซสชันซึ่งไม่เกี่ยวข้องกับรหัสผ่านในทางใดทางหนึ่ง
kasperd

มันไม่สำคัญว่าสิ่งที่เขาพบมีเฉพาะ เขาควรตรวจสอบคุกกี้ของเขา
Hymie
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.