Ketika sebuah situs mengirim email kata sandi lama Anda, dan tidak mengharuskan Anda untuk meresetnya di situs, saya bertanya-tanya apa implikasinya terhadap tindakan keamanan mereka.
Apakah ini berarti mereka menyimpan kata sandi dalam teks biasa untuk kenyamanan mereka sendiri atau bisakah mereka masih menggunakan enkripsi pada kata sandi?
security
passwords
encryption
S. Michaels
sumber
sumber
Jawaban:
Mereka mungkin menggunakan enkripsi ketika kata sandi disimpan dalam DB tetapi mereka seharusnya tidak menyimpannya dalam format yang bisa diambil sama sekali, dienkripsi atau sebaliknya.
Mereka harus mengambil hash kata sandi satu arah (ditambah garam ). Ini berarti mereka dapat memeriksa kata sandi yang Anda masukkan sekarang cocok dengan yang Anda berikan sebelumnya tetapi mereka (atau cracker dengan akses ke DB mereka) tidak dapat menemukan apa itu. Mengenkripsi kata sandi berarti seorang cracker harus menemukan DB dan kunci enkripsi, tetapi karena kunci itu harus ada di server yang melayani situs web, ini hampir tidak dapat dibayangkan.
Jadi jika mereka dapat mengirimkan kata sandi Anda, ini berarti mereka tidak mengikuti praktik terbaik keamanan yang terkenal.
Praktik buruk seperti ini adalah alasan bagus untuk menggunakan kata sandi yang berbeda untuk setiap situs web tempat Anda mendaftar .
sumber
Bahkan jika itu adalah dienkripsi dan aman, bahwa e-mail sama sekali tidak aman.
Satu hal yang lakukan tahu, dengan menggunakan e-mail , password Anda sekarang hampir
pasti disimpan dalam teks biasa di banyak lainnya lokasi :
sumber
Seperti kata Dave, mereka bisa dan mudah-mudahan menggunakan enkripsi, tetapi saya telah melihat situs yang menyimpan kata sandi dalam teks biasa. Mereka juga dapat membuat kata sandi sementara baru ketika Anda menekan tombol Saya lupa kata sandi saya, yang harus Anda ubah saat pertama kali masuk dengannya. Intinya adalah Anda tidak tahu bagaimana mereka menyimpan kata sandi Anda dan kecuali situs tersebut dihosting oleh perusahaan yang sama dengan yang Anda dapatkan dukungannya, dan mereka hanya memiliki beberapa orang, kecil kemungkinan Anda akan dapat bertanya kepada siapa pun yang mau tahu bagaimana itu disimpan, dan bahkan jika mereka tahu itu tidak mungkin mereka akan memberi tahu Anda.
sumber
Jawabannya adalah TIDAK - ini bukan bukti apa pun.
Bagaimanapun, Anda tidak memiliki cara untuk mengetahui bagaimana kata sandi disimpan secara internal. Kemungkinan besar mereka menggunakan database seperti mysql, dan mungkin mereka tidak dienkripsi di dalam database. Namun, masih mungkin mereka secara sadar menyimpan seluruh database di beberapa media terenkripsi seperti TrueCrypt . Yang dapat Anda lakukan adalah berharap bahwa mereka telah mengambil langkah-langkah yang cukup untuk melindungi privasi Anda.
sumber