Как узнать, хранит ли пароли в открытом виде текст

Question

При регистрации на сайте на днях одним из требований к его паролю было то, что он не мог содержать никаких специальных символов, таких как '"=:; <> ()

В то время как это само по себе не означает, что они не имеют хеширования своих паролей, это сильный индикатор? Если пароль хэшируется, эти специальные символы будут переведены на что-то еще, и любой harmful SQL будет превращен в случайные символы. В силу того, что они не допускают этих символов, означает ли это, что пароль будет помещен в базу данных без хеширования?

Я также зарегистрировался на другом сайте, который, казалось, обладал надежной защитой и имел хорошие отзывы клиентов. Однако, как только я завершил регистрацию и получил приветственное письмо, он включил мой пароль в обычный текст, что было неприятным сюрпризом.

Никто не рекламирует свою плохую безопасность, но каковы некоторые предупреждающие знаки о том, что ваш пароль не может быть зашифрован? Как правило, вы не знаете, насколько безопасна безопасность сайта до тех пор, пока не произойдет кража или массовая хищение данных, и средний человек на сайте не может сказать, что происходит с их данными.

Кто-то должен создать сайт, на котором вы можете выделить сайты с плохой безопасностью, чтобы оттеснить клиентов или позорить сайты в изменении их политик. Я понимаю, что вам нужно доверять сторонним сайтам, но каковы некоторые предупреждающие флаги, которые должны отключить вас от сайта?

Answer 1

Две вещи приходят на ум.

A: Просто потому, что вы получили электронное письмо с открытым текстом, пароль не означает, что он хранится в виде обычного текста. Мы шифруем и отправляем по электронной почте в виде обычного текста, это плохая практика, но шаг за шагом из простого текста.

B: Используйте менеджер паролей, если вы беспокоитесь об этом. Вы не можете контролировать неправильные методы паролей других людей, что вы можете контролировать, это ваши хорошие практики и ущерб, нанесенный, если один из ваших паролей скомпрометирован.

Я сам использую KeePass. У этого есть генератор паролей, который вы можете изменить правила так, чтобы у вас были сверхполезные пароли (такие как: YhdyLa1PJSftp7), специфичные для критериев сайта.

Answer 2

Как правило, вы узнаете, когда вы получите электронное письмо с подтверждением учетной записи, или вы попросите «отправить новый пароль», и вы получите оригинал в виде обычного текста вместо случайного или сброса пароля.

Я не думаю, что любые глупые правила о том, что может и не может быть в пароле, являются сильными индикаторами. Лучше всего использовать сильные уникальные пароли для всего.

Answer 3

К сожалению, в целом нет никакого способа точно знать, хранит ли ваш сайт неуправляемый пароль.

Хотя это само по себе не означает, что они не имеют своих паролей, это сильный индикатор? Если пароль хэшируется, эти специальные символы будут переведены на что-то еще, и любой вредоносный SQL будет превращен в случайные символы. В силу того, что они не допускают этих символов, означает ли это, что пароль будет помещен в базу данных без хэширования?

Нет, это не обязательно означает это. p -> q (т. е. использование специальных символов -> хэширование пароля (если их безопасность не смехотворно плохо)) не позволяет вам заключить ~ p -> ~ q (т.запрет специальных символов -> пароль не хешированный). Другими словами, возможно, что они запрещают эти символы, но все еще делают хэш-пароль.

Я также зарегистрирован на другом сайте, который, как представляется, имеет плотную безопасность и имеет хорошие отзывы клиентов. Однако, как только я завершил регистрацию и получил приветственное письмо, он включил мой пароль в обычный текст, что было неприятным сюрпризом.

Возможно, что они сгенерировали электронное письмо, в то время как пароль был в памяти, но сохранялся только хэш. Хотя электронная почта с открытым текстом - это, как вы говорите, не хорошая практика безопасности.

Answer 4

Худший признак: если они МОГУТ отправить вам ваш пароль в виде обычного текста.

Нет гарантии, что они хранят его в текстовом формате, но если шифрование, которое они используют, обратимо, большинство разработчиков сайта будут знать, как пароль зашифрован/расшифрован и, возможно, его прочитает.

Answer 5

Если вы получили сообщение электронной почты о том, что они переходят на новую систему с более коротким паролем, чем текущая система, и что они автоматически укорачивают пароль для вас, это мертвая распродажа, что они хранят пароли ,

Это случилось со мной с онлайн-счетом банковского счета. Вы могли бы подумать, что они будут знать лучше.

Кстати, это не говорит вам, что они хранятся в открытом тексте. Возможно, они были зашифрованы. Но, с точки зрения безопасности, это не лучше, чем хранить их в открытом виде. Фактические пароли никогда не должны храниться в любой форме.

Answer 6

Ввиду того, что они не позволяют использовать эти символы, означает ли это, что пароль будет помещен в базу данных без хэширования?

Нет. Это вообще плохой знак, если некоторые символы запрещены (и невероятно раздражает, если у вас есть система для составления паролей с пунктуацией в), но это не красный флаг в себе. Есть иногда другие технические причины, чтобы запретить некоторые символы (*), и очень часто глупые причины политики управления.

(*: в частности, HTTP Basic Authentication не может надежно включать символ ':' в имени пользователя, или любой не-ASCII символов в имени пользователя или пароля.)

Однако, как только я закончил регистрации и получил их приветственное письмо, оно включало мой пароль в виде простого текста, что было неприятным сюрпризом.

Да. Не хорошо, но опять же это не обязательно означает, что они хранение как открытый текст; они могли отправлять почту, а затем после этого хэшировать ее.

(Наверное, не хотя да!)

что некоторые признаки того, что ваш пароль не может быть зашифрован?

Если существует функция «восстановить пароль», которая может отправить вам пароль после регистрации.

Кто-то должен создать сайт, где можно выделить сайты с плохой безопасности, чтобы направить клиентов от

Это было бы хорошо, но потом, что кто-то будет постоянно беспокоили технически невежественных, но процессуальной счастливым компаний , И когда большинство коммерческих сайтов по-прежнему также уязвимы для простых атак XSS или XSRF, список «сайтов с плохой безопасностью» будет намного дольше, чем «сайты с хорошей безопасностью».