我收到了我的密码,想确认这不安全[关闭]

【问题标题】:I was emailed my password, want to confirm this is not secure [closed]我收到了我的密码,想确认这不安全[关闭]
【发布时间】:2013-04-01 07:08:40
【问题描述】:

我最近忘记了一个网站的密码,并通过他们的支持流程来解决这个问题。他们将我的原始密码以明文形式通过电子邮件发送给我。

我向他们发送了一封严厉的电子邮件,指出电子邮件不是一种安全的传输协议,并且通过向我发送我的密码的明文版本,他们表明他们没有存储我密码的哈希版本。我接着说,任何有权访问他们的数据库或入侵他们的系统的人都可以访问密码。

这些断言正确吗?

【问题讨论】:

  • 是的,所有断言都是正确的。理想情况下,他们应该发送一个链接来重置密码

标签: security passwords password-storage


【解决方案1】:

是的,你的断言是正确的。

虽然我们不能确定他们以明文格式存储密码,但很明显它是以无损形式存储的,而且他们(也可能是攻击者)有可能计算出明文密码。

无论如何,这都是很差的安全性。

您(用户)可以采取的一种减轻此类风险的方法是为每个站点分配一个唯一的随机密码。有很多软件工具可以让您管理此类密码。

【讨论】:

    【解决方案2】:

    如果它是您的原始密码,那么它可能不安全。他们可能正在加密它,但不太可能。即使是这样,加密密码也只比以纯文本形式保存密码好一点。

    【讨论】:

    • 对它们进行加密确实意味着站点维护人员中有权访问密钥的任何人都可以访问密码数据库。
    猜你喜欢
    • 2016-05-20
    • 1970-01-01
    • 2020-08-27
    • 1970-01-01
    • 1970-01-01
    • 2013-06-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode