我最近忘记了网站的密码,并通过他们的支持流程解决了这个问题。他们以明文形式通过电子邮件将我的原始密码发送给我。
我给他们发了一封严厉的电子邮件,说明电子邮件不是一种安全的传输协议,并且通过向我发送我的密码的纯文本版本,他们表示他们没有存储我的密码的哈希版本。我接着说,任何有权访问他们的数据库或者破解他们系统的人都可以访问密码。
这些断言是否正确?
答案 0 :(得分:2)
是的,你的断言是正确的。
虽然我们无法确定它们是否以明文格式存储密码,但很明显它以无损形式存储,并且它们(可能是攻击者)有可能计算出明文密码。
无论如何,这种安全性很差。
用户可以采取一种方法来减轻此类风险,即为每个站点分配一个唯一的随机密码。有许多软件工具可以让您管理这些密码。
答案 1 :(得分:1)
如果是您的原始密码,那么它可能不安全。他们可能正在对它进行加密,但这不太可能。即使它们是,加密密码只比用纯文本保存它们要好一些。