假设很多人使用一个密码来处理他/她所拥有的一切。 因此,当在网站中创建帐户时,是什么阻止了显然可以访问帐户数据库的网站的维护者尝试使用相同的帐户名和密码登录其他网站?他们总是单向散列密码吗?
答案 0 :(得分:2)
什么阻止了显然有权访问帐户数据库的网站的维护者尝试使用同一帐户 登录其他网站的名称和密码?
除了道德顾虑之外的一些小问题,没有。作为最终用户(除非您正在处理其安全流程定期审核的企业服务提供商),否则您无法保证服务如何处理您的密码。也许他们使用高迭代唯一盐渍的PBKDF来存储您的密码。也许他们把它全部放在一个文本文件中。
当您注册服务时,您实际上是在给予您从未见过的人,并且可能没有理由信任密码。如果您也碰巧使用该密码来保护您的网上银行,那么如果发生了不好的事情,您只能责怪自己。
答案 1 :(得分:1)
没什么,真的。降低风险的一种方法是在每个站点上使用不同的随机密码,使用本地工具为您记住它们。
即使密码以散列和盐渍的方式存储,当服务器收到密码时它们也是清晰的。他们可以“实时”重复使用它们,并用直面说他们没有明文密码。
OpenID这样可以通过将信任放在像Google这样的单一地方来解决问题。您还可以运行自己的OpenID提供程序。这并不难,但很少打扰。
启用OpenID的一个站点是Stack Overflow。我使用我的Google帐户登录,因此即使是恶意的StackOverflow管理员也无法出于其他目的窃取我的帐户。谷歌可以通过我的密码做他们想做的事情,虽然我相信,破坏密码的成本对于他们来说比使用它冒充我的成本要贵。
最后,为了安全起见,我用于Google的密码不会在其他地方使用。