Se un "hai dimenticato la password?" pagina invia la tua vecchia password, è la prova definitiva che l'hanno memorizzata in testo semplice?

8

Quando un sito invia una e-mail con la tua vecchia password, anziché richiederti di reimpostarla sul sito, mi chiedo che cosa ciò implichi sulle loro misure di sicurezza.

Ciò significa che memorizzano la password in testo normale per comodità o potrebbero ancora utilizzare la crittografia sulla password?

security  passwords  encryption 
S. Michaels
fonte
In relazione a questa domanda - superuser.com/questions/46810/…
ChrisF
3
La crittografia è un processo a due vie in cui in qualche modo è possibile decrittografare le informazioni fornite con la chiave corretta. Le password dovrebbero normalmente usare l'hash invece che in teoria è un codice unidirezionale in cui la password genera un valore di hash specifico, che è difficile o impossibile da invertire. Quando effettui l'accesso, la password inserita viene codificata nello stesso modo e confrontata con il valore codificato memorizzato e ti consente di accedere se corrispondono. In pratica a volte puoi invertire il processo attraverso vari processi a forza bruta come l'uso di tavoli arcobaleno ...
Oskar Duveborn,
2
Indipendentemente dal fatto che lo avessero o meno crittografato, lo hanno inviato tramite e-mail di testo! Quel sito Web non è in alcun modo serio o indizio della sicurezza. Spero che tu non abbia dato loro una password che usi altrove. Giusto?
DanO,
Ho abbandonato un sito perché hanno insistito per inviarmi via e-mail il mio nome utente e la password una volta al mese, sia che lo chiedessi o meno. Li ho inviati più volte per e-mail per dire loro che non era una buona pratica, poi ho rinunciato.
TRiG

Risposte:

25

Potrebbero utilizzare la crittografia quando la password è archiviata nel DB ma non dovrebbero essere archiviati in un formato recuperabile, crittografato o in altro modo.

Dovrebbero prendere un hash unidirezionale della password (più un salt ). Ciò significa che possono controllare che la password che inserisci ora corrisponda a quella che hai fornito in precedenza ma loro (o alcuni cracker con accesso al loro DB) non possono scoprire di cosa si tratta. Crittografare la password significa che un cracker dovrebbe trovare il DB e la chiave di crittografia, ma dal momento che la chiave deve trovarsi sul server che serve il sito Web, questo è quasi inconcepibile.

Quindi, se possono inviarti la tua password, ciò significa che non stanno seguendo le migliori pratiche di sicurezza ben note.

Cattive pratiche come questa sono una buona ragione per usare una password diversa per ogni sito web in cui ti registri .

Dave Webb
fonte
9
A proposito, grazie per averli chiamati cracker anziché hacker !
NVRAM,
A parte questo, gli hash bidirezionali sono considerati dalle principali banche abbastanza sicuri per la memorizzazione dei dati della carta di credito.
Runako,
1
@runako: cos'è un hash bidirezionale? Una funzione hash di solito produce un valore di una determinata dimensione, il che significa che l'originale non può essere trovato di nuovo a meno che l'originale non sia più grande del valore hash.
David Thornley,
1
Scusa, posta errata. Quella avrebbe dovuto essere una "funzione a due vie".
Runako,
19

Anche se è crittografato e sicuro, quell'e-mail non era affatto sicura.

Una cosa che si fa sapere, tramite e-mail , la password è ormai quasi
certamente memorizzata in testo normale in molti altri luoghi :

  • Sul loro server di posta
  • Sul server del tuo provider di posta elettronica
  • Nel browser del computer o nelle directory di archiviazione della posta elettronica
  • Sul disco rigido / registri di chiunque abbia potuto "ascoltare" lungo la strada
  • ... e molto probabilmente in qualsiasi hop di Internet tra te e quel sito.
Robert Cartaino
fonte
1

Come ha detto Dave, potrebbero e si spera stiano usando la crittografia, ma ho visto siti che memorizzano le password in chiaro. Potrebbero anche generare una nuova password temporanea quando premi il pulsante Ho dimenticato la mia password, che devi cambiare la prima volta che accedi con esso. La linea di fondo è che non sai come memorizzano la tua password e, a meno che il sito non sia ospitato dalla stessa azienda da cui ricevi assistenza e hanno solo poche persone, è improbabile che tu possa chiedere a chiunque sapere come viene archiviato e anche se lo sapessero è improbabile che te lo dicano.

Beaner
fonte
0

La risposta è NO: questa non è una prova di nulla.

In ogni caso, non hai modo di sapere come vengono memorizzate le password internamente. Molto probabilmente stanno usando un database come mysql e potrebbe non essere crittografato all'interno del database. Tuttavia, è ancora possibile che stiano archiviando consapevolmente l'intero database in alcuni supporti crittografati come TrueCrypt . Tutto quello che puoi fare è sperare che abbiano adottato misure sufficienti per proteggere la tua privacy.

harrymc
fonte
6
È la prova che non sono archiviati crittografati con un hash unidirezionale e quindi è possibile recuperare la password in testo normale.
NVRAM,
1
Il recupero non è lo stesso del testo normale. Recuperato può anche significare decrittografato. Testo semplice significa memorizzato come testo semplice che è possibile visualizzare senza troppi sforzi.
harrymc,
1
Se può essere decrittografato, non è sicuro. Prendi la casella di autenticazione e hai le chiavi per decrittografare le password di tutti.
Jeremy L
1
Sì, assumi il server del sito e puoi registrare le password anche prima che vengano hash unidirezionali. Forza ragazzi, siete sciocchi.
harrymc,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.