我最近使用Meebo并且我必须承认我有点偏执于将我的IM登录信息输入到这样的网站中。他们如何为每个单独的IM服务存储我的用户名和密码?当网站获取我的密码并在其上执行某种类型的不可逆转的单向功能时,我感到很舒服,但似乎Meebo必须以一种他们可以随时检索它们的方式存储我的密码,以便于自动登录到他们支持的单独IM服务。我是否有理由对此有偏见?
编辑: 我从Meebo's privacy policy发现了这段摘录:
第三方IM服务用户名和密码。 Meebo允许您通过Meebo(“第三方IM服务”)登录您的帐户来访问第三方IM服务。要访问您的第三方IM服务帐户,您必须在Meebo服务上输入适用的用户名和密码。要在网站上使用基本IM服务,Meebo不会在我们的服务器上存储您的第三方IM服务帐户的密码。 如果您希望使用服务的高级功能,例如自动登录,则可能需要存储您的密码。
Jeff Atwood在本文中发表了一篇关于此主题的文章:Please Give Us Your Email Password。
答案 0 :(得分:4)
是的,你是。
答案 1 :(得分:3)
是的,你是有道理的。当您将您的用户名/密码提供给某个站点,任何站点时,您实际上并不知道/保证他们将如何处理它以及它们将如何保护它。
答案 2 :(得分:3)
注意第2和第3行。为了做#3,Meebo需要你的密码; (除非IM提供商和Meebo之间有一些合作(这是可能的但不太可能))它在这些行之间的某个点上有你的明文密码。
恭喜,您无法完全控制自己的IM帐户;就IM服务而言,Meebo 是你。
换句话说:你相信Meebo不会滥用你的密码吗?你相信Meebo保护你的密码吗?你相信Meebo不会被黑客攻击而且你的密码被盗了吗? 据我所知,没有办法说出来(除非你是Meebo,你不是)。
归结为:你相信Meebo的承诺吗?
这是我的0.02美元:方便吗?校验。可怕的不安全?检查。
哦,并回答标题中的问题:最佳做法是“加密密码,不要将明文保留在任何地方(不得超过绝对必要的时间)”。但是,我见过太多带有明文密码字段的数据库;一些企业显然认为加密是浪费精力,直到事情真的发生了。 Meebo?我没办法告诉你。
答案 3 :(得分:2)
除非他们与每个供应商签订合同,他们在这些供应商中创建散列并仅传递散列,否则他们将需要存储您的信息。
答案 4 :(得分:2)
在meebo blog上,他们会更详细地讨论他们的安全功能。以下是摘要:
“我们存储了[meebo]密码的盐渍哈希,而不是密码本身。”
“[我们使用您的] Meebo帐户密码暂时解密您的IM帐户的密码。我们只将解密的版本保留在内存中,一旦您注销,我们就会忘记解密的版本。”
所以这项服务似乎很安全。如果您想要更安全,请不要使用您的meebo帐户登录,而是使用您的IM详细信息登录。
答案 5 :(得分:1)
他们解释了他们如何将数据从浏览器发送到他们的服务器;表单提交前在javascript中进行RSA加密。
编辑:澄清,他们没有说明他们如何存储它,但可能是双向加密,可能是用户的密码作为密钥?答案 6 :(得分:1)
Meebo使用您的meebo帐户密码加密您的个人帐户密码。 您的meebo帐户密码是bcrypt-ed。因此,除非您已登录,否则Meebo不会知道您的任何密码。 http://blog.meebo.com/?p=2220