几周前,我注意到一个网站所有者询问如何更好地管理其网站用户密码的问题。他们使用excel表作为数据库存储密码。
我现在没有找到这个问题,但有几条评论指出使用Excel作为密码数据库并不是一个好主意。这种纯粹的不恰当并没有留下我的想法,我想知道,有多少网站使用低级密码字保护。
如果我要在该特定网站上进行测试,请将我的密码更改为“= 2 + 2”,然后尝试使用“4”作为我的密码登录。这可能表明我的网站密码管理不善。
我应该寻找什么,或者我可以执行哪些测试来验证网站用于保护我在那里使用的密码的保护级别?
答案 0 :(得分:4)
在不跨越某些合法灰色区域的情况下判断某个站点的安全性可能非常困难(甚至不可能)。
测试网站上的密码管理是否糟糕的一种简单方法是,如果您执行“忘记密码”请求,他们会以明文形式向您发送密码。这意味着他们处于最糟糕的状态,以明文形式存储您的密码,最好加密它而不是散列它(仍然是不好的做法)。
除了获得对系统的访问权(或者,当然,询问开发人员),您无法确定正在使用的方法。他们可以将您的密码存储在纯文本中,但仍然不能通过电子邮件发送。它最终归结为信任和使用必要的预处理(例如唯一的密码,或限制你给他们的信息)。