Se a página “Esqueceu sua senha?” enviar sua senha antiga, essa prova definitiva é que ela foi armazenada em texto simples?

Navegue suas respostas
8

Quando um site envia e-mails com sua senha antiga, em vez de exigir que você a redefina no site, estou imaginando o que isso implica em suas medidas de segurança.

Isso significa que eles armazenam a senha em texto simples para sua própria conveniência ou ainda poderiam usar criptografia na senha?

    
por S. Michaels 25.09.2009 / 18:16

4 respostas

25

Eles podem estar usando criptografia quando a senha é armazenada no banco de dados, mas eles não devem armazená-la em um formato recuperável, criptografados ou não.

Eles devem ter um hash unidirecional da senha (mais um salt ). Isso significa que eles podem verificar a senha que você entra agora corresponde a que você deu antes, mas eles (ou algum cracker com acesso ao seu DB) não consegue descobrir o que é. Criptografar a senha significa que um cracker teria que encontrar o DB e a chave de criptografia, mas como a chave deve estar no servidor que serve o site, isso é quase inconcebível.

Portanto, se eles puderem enviar sua senha, isso significa que eles não estão seguindo práticas recomendadas de segurança bem conhecidas.

Uma prática inadequada como essa é um bom motivo para usar uma senha diferente para cada website registrado a>.

    
por 25.09.2009 / 18:18
19

Mesmo que seja criptografado e seguro, esse e-mail não era de forma alguma seguro.

Uma coisa que você faz sabe, usando e-mail , sua senha está quase no fim certamente armazenado em texto simples em muitas outras localizações :

  • Em seu servidor de e-mail
  • No servidor do seu provedor de e-mail
  • No navegador do seu computador ou nos diretórios de armazenamento de e-mail
  • No disco rígido / registros de qualquer pessoa que possa estar "ouvindo" ao longo do caminho
  • ... e possivelmente em qualquer Internet hop entre você e esse site.
por 25.09.2009 / 19:00
1

Como Dave disse, eles poderiam e esperançosamente estão usando criptografia, mas eu tenho visto sites que armazenam senhas em texto simples. Eles também podem gerar uma nova senha temporária quando você pressiona o botão Esqueci minha senha, que você precisa alterar a primeira vez que faz login com ela. O importante é que você não sabe como eles armazenam sua senha e a menos que o site seja hospedado pela mesma empresa da qual você obtém suporte, e eles têm poucas pessoas, é pouco provável que você possa perguntar a alguém que faria sabe como é armazenado, e mesmo que eles soubessem, é improvável que eles lhe contassem.

    
por 25.09.2009 / 18:29
0

A resposta é NÃO - isso não é uma prova de nada.

Em qualquer caso, você não tem como saber como as senhas são armazenadas internamente. Muito provavelmente eles estão usando um banco de dados como o mysql, e pode ser que eles não estejam criptografados dentro do banco de dados. No entanto, ainda é possível que eles estejam armazenando conscientemente o banco de dados inteiro em alguma mídia criptografada, como TrueCrypt . Tudo o que você pode fazer é esperar que eles tenham tomado medidas suficientes para proteger sua privacidade.

    
por 25.09.2009 / 18:28

Tags

Como posso abrir um arquivo como somente leitura no Windows Explorer? Melhor maneira de descrever vetor vs raster