前几天在网站上注册时,其密码要求之一是它不能包含任何特殊字符,例如'“=:;<>()
虽然这并不表示他们没有散列密码,但这是一个强有力的指标吗?如果密码是经过哈希处理的,则这些特殊字符将被翻译成其他字符,并且任何harmful SQL都将变为随机字符。由于它们不允许这些字符,这是否意味着密码将被放入数据库而不进行哈希处理?
我还在另一个网站上注册,该网站似乎具有严密的安全性并且有良好的客户评价。但是,一旦我完成了注册并收到了他们的欢迎电子邮件,它包含了我的密码,这是一个令人不快的惊喜。
没有人宣传他们的安全性差,但有什么迹象表明您的密码可能没有加密?通常情况下,您不知道网站的安全性有多么糟糕,直到存在闯入或大规模数据窃取,并且网站上的普通人无法分辨他们的数据发生了什么。
有人应创建一个网站,您可以在其中突出显示安全性较差的网站,以引导客户远离或羞辱网站以更改其政策。我知道你必须对第三方网站有一定的信任,但有什么警告标志可以让你脱离网站?
答案 0 :(得分:9)
通常情况下,您只会在收到帐户确认电子邮件或要求“发送新密码”时找到原始文件而不是随机密码或密码重置链接。
我认为任何关于密码中的内容和密码的愚蠢规则都不是强有力的指标。您最好的选择是使用强大的唯一密码。
答案 1 :(得分:4)
有两件事情浮现在脑海中。
答:仅仅因为您收到的带有纯文本密码的电子邮件并不意味着它以纯文本格式存储。我们加密,并以纯文本形式发送电子邮件,这是不好的做法,但是从纯文本中升级。
B:如果您担心这类事情,请使用密码管理器。您无法控制其他人的密码错误做法,您可以控制的是您的良好做法以及如果您的某个密码遭到入侵而造成的损害。
我自己使用KeePass。它有一个密码生成器,您可以修改规则,以便您可以拥有特定于站点标准的超级密码(例如:YhdyLa1PJSftp7)。
答案 2 :(得分:2)
最糟糕的迹象是,如果他们能够以纯文本形式通过电子邮件向您发送密码。
无法保证他们以纯文本格式存储它,但如果他们使用的加密是可逆的,那么该网站的大多数开发人员都会知道密码是如何加密/解密的,并且可能会读取它。
答案 3 :(得分:1)
不幸的是,一般情况下无法确定某个网站是否存储了您未加密的密码。
虽然这并不表示他们没有散列密码,但这是一个强有力的指标吗?如果密码经过哈希处理,这些特殊字符将被翻译成其他内容,并且任何有害的SQL都将变为随机字符。由于它们不允许这些字符,这是否意味着密码将被放入数据库而不进行哈希处理?
不,这并不一定意味着。 p - > q(即允许特殊字符 - >密码哈希(除非他们的安全性是可笑的))不允许你得出结论~p - > ~q(即禁止特殊字符 - >密码未散列)。换句话说,它们可能会禁止使用这些字符,但仍会使用您的密码哈希。
我还在另一个网站上注册,该网站似乎具有严密的安全性并且有良好的客户评价。但是,一旦我完成了注册并收到了他们的欢迎电子邮件,它包含了我的密码,这是一个令人不快的惊喜。
当密码在内存中时,他们可能会生成电子邮件,但只存储了哈希值。虽然通过电子邮件发送明文密码,但正如您所说,并非良好的安全措施。
答案 4 :(得分:1)
如果您收到一封电子邮件,告诉您他们正在切换到一个密码限制比当前系统更短的新系统,并且他们会自动截断您的密码,那就是他们存储密码的死机。
最近我遇到了一个网上银行账户。你会认为他们会更清楚。
顺便说一下,这并没有告诉你它们是以明文形式存储的。它们可能已被加密。但是,从安全的角度来看,这并不比将它们存储在纯文本中更好。实际的密码不应该以任何形式存储。答案 5 :(得分:1)
由于他们不允许这些字符,这是否意味着密码将被放入数据库而不进行哈希处理?
没有。如果某些角色被禁止,这通常是一个不好的迹象(如果你有一个用标点符号来制作密码的系统,那就太令人恼火了),但这本身并不是一个红旗。偶尔有其他技术原因可以禁止某些字符(*),而且经常是愚蠢的管理政策原因。
(*:特别是,HTTP基本身份验证不能在用户名中可靠地包含':'字符,或者在用户名或密码中包含任何非ASCII字符。)
然而,一旦我完成了注册并收到了他们的欢迎电子邮件,它包含了我的密码,这是一个令人不快的惊喜。
呀。不好,但这并不一定意味着他们以存储明文;他们可能会发送邮件,然后在那之后进行散列。
(可能不是呃!)
有哪些警告标志表明您的密码可能未加密?
如果存在“恢复密码”功能,可以在注册后将密码邮寄给您。
有人应该创建一个网站,您可以在其中突出显示安全性较差的网站,以引导客户离开
那会很好,但随后有人会被技术上无能为力但诉讼愉快的公司所骚扰。当大多数商业网站仍然容易受到简单的XSS或XSRF攻击时,“安全性较差的网站”列表将比“安全性较高的网站”长得多。