Jika "lupa kata sandi Anda?" halaman mengirim email kata sandi lama Anda, apakah itu bukti definitif bahwa mereka telah menyimpannya dalam teks biasa?

8

Ketika sebuah situs mengirim email kata sandi lama Anda, dan tidak mengharuskan Anda untuk meresetnya di situs, saya bertanya-tanya apa implikasinya terhadap tindakan keamanan mereka.

Apakah ini berarti mereka menyimpan kata sandi dalam teks biasa untuk kenyamanan mereka sendiri atau bisakah mereka masih menggunakan enkripsi pada kata sandi?

S. Michaels
sumber
Terkait dengan pertanyaan ini - superuser.com/questions/46810/…
ChrisF
3
Enkripsi adalah proses dua arah di mana Anda dapat mendekripsi informasi yang diberikan kunci yang benar. Kata sandi biasanya harus menggunakan hashing sebagai gantinya yang secara teori merupakan pengkodean satu arah di mana kata sandi menghasilkan nilai hash tertentu - yang sulit atau tidak mungkin untuk dibalik. Saat Anda masuk, kata sandi yang Anda masukkan dikodekan dengan cara yang sama dan dibandingkan dengan nilai kode yang disimpan dan memungkinkan Anda masuk jika cocok. Dalam prakteknya Anda kadang-kadang dapat membalikkan proses melalui berbagai proses brute-force seperti menggunakan tabel pelangi ...
Oskar Duveborn
2
Apakah mereka memilikinya terenkripsi atau tidak, mereka mengirimkannya dalam email teks rencana! Situs web itu tidak serius atau petunjuk tentang keamanan dengan cara apa pun. Semoga Anda tidak memberi mereka kata sandi yang Anda gunakan di tempat lain. Baik?
DanO
Saya meninggalkan sebuah situs karena mereka bersikeras mengirim email kepada saya nama pengguna dan kata sandi saya sebulan sekali, apakah saya memintanya atau tidak. Saya mengirim email kepada mereka beberapa kali untuk memberi tahu mereka bahwa ini bukan praktik yang baik, lalu menyerah.
TRiG

Jawaban:

25

Mereka mungkin menggunakan enkripsi ketika kata sandi disimpan dalam DB tetapi mereka seharusnya tidak menyimpannya dalam format yang bisa diambil sama sekali, dienkripsi atau sebaliknya.

Mereka harus mengambil hash kata sandi satu arah (ditambah garam ). Ini berarti mereka dapat memeriksa kata sandi yang Anda masukkan sekarang cocok dengan yang Anda berikan sebelumnya tetapi mereka (atau cracker dengan akses ke DB mereka) tidak dapat menemukan apa itu. Mengenkripsi kata sandi berarti seorang cracker harus menemukan DB dan kunci enkripsi, tetapi karena kunci itu harus ada di server yang melayani situs web, ini hampir tidak dapat dibayangkan.

Jadi jika mereka dapat mengirimkan kata sandi Anda, ini berarti mereka tidak mengikuti praktik terbaik keamanan yang terkenal.

Praktik buruk seperti ini adalah alasan bagus untuk menggunakan kata sandi yang berbeda untuk setiap situs web tempat Anda mendaftar .

Dave Webb
sumber
9
BTW, terima kasih telah memanggil mereka cracker, bukan hacker !
NVRAM
Sebagai tambahan, hash dua arah dianggap oleh bank-bank besar cukup aman untuk menyimpan informasi kartu kredit.
runako
1
@runako: Apa hash dua arah? Fungsi hash biasanya menghasilkan nilai ukuran tertentu, yang berarti bahwa aslinya tidak dapat ditemukan lagi kecuali aslinya tidak lebih besar dari nilai hash.
David Thornley
1
Maaf, salah posting. Itu seharusnya menjadi "fungsi dua arah".
runako
19

Bahkan jika itu adalah dienkripsi dan aman, bahwa e-mail sama sekali tidak aman.

Satu hal yang lakukan tahu, dengan menggunakan e-mail , password Anda sekarang hampir
pasti disimpan dalam teks biasa di banyak lainnya lokasi :

  • Di server email mereka
  • Di server penyedia email Anda
  • Di browser komputer Anda atau direktori penyimpanan email
  • Pada hard drive / log siapa pun yang mungkin telah "mendengarkan" di sepanjang jalan
  • ... dan sangat mungkin pada lompatan Internet apa pun antara Anda dan situs itu.
Robert Cartaino
sumber
1

Seperti kata Dave, mereka bisa dan mudah-mudahan menggunakan enkripsi, tetapi saya telah melihat situs yang menyimpan kata sandi dalam teks biasa. Mereka juga dapat membuat kata sandi sementara baru ketika Anda menekan tombol Saya lupa kata sandi saya, yang harus Anda ubah saat pertama kali masuk dengannya. Intinya adalah Anda tidak tahu bagaimana mereka menyimpan kata sandi Anda dan kecuali situs tersebut dihosting oleh perusahaan yang sama dengan yang Anda dapatkan dukungannya, dan mereka hanya memiliki beberapa orang, kecil kemungkinan Anda akan dapat bertanya kepada siapa pun yang mau tahu bagaimana itu disimpan, dan bahkan jika mereka tahu itu tidak mungkin mereka akan memberi tahu Anda.

Beaner
sumber
0

Jawabannya adalah TIDAK - ini bukan bukti apa pun.

Bagaimanapun, Anda tidak memiliki cara untuk mengetahui bagaimana kata sandi disimpan secara internal. Kemungkinan besar mereka menggunakan database seperti mysql, dan mungkin mereka tidak dienkripsi di dalam database. Namun, masih mungkin mereka secara sadar menyimpan seluruh database di beberapa media terenkripsi seperti TrueCrypt . Yang dapat Anda lakukan adalah berharap bahwa mereka telah mengambil langkah-langkah yang cukup untuk melindungi privasi Anda.

harrymc
sumber
6
Ini adalah bukti bahwa mereka tidak disimpan dienkripsi dengan hash satu arah , dan karenanya kata sandi teks biasa dapat diambil.
NVRAM
1
Diperoleh tidak sama dengan teks biasa. Diperoleh juga dapat berarti didekripsi. Teks biasa berarti disimpan sebagai teks sederhana yang dapat ditampilkan tanpa banyak usaha.
harrymc
1
Jika bisa didekripsi maka itu tidak aman. Ambil alih kotak autentikasi dan Anda memiliki kunci untuk mendekripsi kata sandi semua orang.
Jeremy L
1
Yah, ambil alih server situs dan Anda dapat login kata sandi bahkan sebelum mereka hash satu arah. Ayo teman-teman, kamu konyol.
harrymc