Bagaimana Netflix mengetahui kata sandi saya?

8

Setiap kali saya pergi ke halaman utama Netflix di Firefox, saya secara otomatis login.

Namun, ketika saya membuka daftar kata sandi tersimpan Firefox, saya perhatikan bahwa Netflix tidak ada di antara situs-situs tempat Firefox menyimpan kata sandi untuk ( Options -> Security -> Saved Passwords)

Bagaimana Netflix mengetahui kata sandi jika Firefox tidak menyimpannya, dan di mana ia disimpan?

firefox passwords netflix Raven Dreamer
sumber
21
Saya gagal melihat bagian apa dari skenario ini yang membuat Anda berpikir mereka tahu kata sandi Anda. Pada dasarnya yang Anda katakan adalah "Saya baru saja mendapat Chromecast." dan "Firefox belum menyimpan kata sandi Netflix saya." Ada apa dengan dua fakta yang membuat Anda yakin Netflix memiliki kata sandi Anda? Saya menduga kesalahpahaman ini muncul dari sesuatu selain dari apa yang telah Anda sebutkan dalam pertanyaan Anda saat ini. Mungkin Anda bisa mengedit untuk menjelaskan apa itu "sesuatu" itu?
Ajedi32
1
@ Ajedi32 Jujur, saya baru saja mengalami gangguan mental, dan berasumsi bahwa karena saya masuk setiap kali saya membuka Netflix, itu adalah firefox yang melakukan login. Benar-benar lupa bahwa kue adalah sesuatu.
Raven Dreamer
4
Jadi sebenarnya Chromecast sama sekali tidak relevan.
David Z
@ DavidZ Kecuali jika seseorang memiliki informasi tentang cara menggunakannya melalui Firefox ... ya.
Raven Dreamer
@RavenDreamer Itu akan menjadi pertanyaan yang berbeda; jadi tidak relevan terlepas.
OJFord

Jawaban:

31

Untuk menjawab pertanyaan pertama Anda, Netflix tidak tahu kata sandi Anda .

Apa yang dilakukan Netflix dan setiap situs web kompeten lainnya di luar sana adalah hash kata sandi Anda menggunakan skema hashing satu arah ( MD5 , SHA-1 , SHA-2 , dll.).

Apa yang dilakukan pada dasarnya adalah membuat sidik jari heksadesimal panjang tetap unik yang mengidentifikasi string teks yang merupakan kata sandi Anda. Misalnya, inilah yang terlihat seperti kata sandi-aman saya setelah di hash menggunakan MD5:

Hashing MD5

Mereka menyimpan hash ini dalam basis data internal mereka dan setiap kali Anda masuk ke Netflix, kata sandi yang Anda berikan selama proses login di hash sekali lagi menggunakan skema yang sama dan dicocokkan dengan salinan kata sandi hash yang disimpan dalam database mereka.

Jika cocok, mereka tahu bahwa Anda memasukkan kata sandi yang benar dan Anda diberikan akses. Jika tidak, Anda tidak diautentikasi. Inilah sebabnya mengapa ketika Anda mengklik beberapa variasi tautan Lupa kata sandi, mereka tidak mengirimkan kata sandi lama Anda tetapi meminta Anda untuk memilih yang baru. Itu karena mereka juga tidak tahu kata sandi Anda.

Jadi bagaimana Anda masuk jika Firefox tidak menyimpan kata sandi untuk Netflix?

Jawabannya adalah cookie sesi . Ketika Anda masuk ke Netflix (mungkin beberapa waktu yang lalu), Anda mungkin memilih untuk mengingat sesi Anda.
ingat saya?

Jika Anda melakukannya, Firefox menyimpan informasi kecil di komputer Anda yang secara unik mengidentifikasi Anda setiap kali Anda mengunjungi Netflix. 'Cookie' ini sebagaimana mereka disebut umumnya bertahan untuk waktu yang singkat sampai sesi aktif dan kemudian berakhir. Namun beberapa dapat berlangsung berminggu-minggu atau lebih lama. Hapus cookie itu dan Netflix tidak akan mengingat Anda.

Cookie Netflix

Mengenai pertanyaan kedua Anda, jika Firefox tidak 'mengingat' kata sandi, itu tidak disimpan di mana pun. Yang disimpan adalah cookie. Firefox menyimpannya di folder Profil di file cookies.sqliteyang merupakan file database SQLite .

Terakhir, jika Anda memilih untuk masuk melalui akun Facebook Anda, Anda tidak memerlukan kata sandi dan Firefox tidak akan menyimpannya.

login menggunakan Facebook

Namun, cookie masih akan dibuat untuk mengidentifikasi sesi Anda.

Vinayak
sumber
23
MD5 adalah satu arah karena ini merupakan fungsi hash. Mengatakan bahwa itu tidak berarti bahwa Anda entah bagaimana dapat memperoleh data asli dari hash MD5 melalui proses kriptografi. Kamu tidak bisa Alat yang Anda sebutkan dapat 'membalikkan' hash hanya karena mereka telah menginvestasikan daya komputer yang signifikan untuk memaksa semua jenis kombinasi kata sandi untuk sampai pada string kata sandi asli. Ini tidak berarti MD5 dapat dibalik. Hashing berbeda dari enkripsi di mana Anda dapat mendekripsi data jika Anda memiliki kuncinya. Juga dengan hashing, tidak peduli berapa lama input, output selalu panjang tetap.
Vinayak
16
@Derek 朕 會 功夫 MD5 secara kriptografis "rusak", tapi ini tentang tabrakan , bukan pra-gambar (yang penting untuk kata sandi). MD5 juga buruk untuk kata sandi, tetapi ini karena cepat , sehingga Anda dapat memaksa banyak kata sandi dalam waktu singkat (dan ini sama untuk fungsi hash yang lebih canggih seperti SHA-2 dan SHA -3). Lihat crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann
9
Saya harus downvote hanya untuk contoh MD5, betapapun baiknya jawabannya. Ini bukan sesuatu yang ingin Anda baca pada tahun 2014 (akan segera 2015). Tidak pernah merupakan ide yang baik untuk menggunakan MD5 mentah (bahkan dengan garam) untuk menyimpan kata sandi, dan kebanyakan orang menyadari hal itu selama 10 tahun terakhir. -1
Thomas
8
@ Thomas Saya menyesal Anda merasa seperti itu tetapi jawaban saya tidak seharusnya menjadi panduan untuk memilih skema hashing terbaik. SuperUser bukan StackOverflow dan suka atau tidak suka, MD5 masih merupakan fungsi hash kriptografis, jadi saya tidak melihat apa yang salah dengan menjelaskan apa itu hash dengan contoh MD5.
Vinayak
7
@kasperd "Dan pada kenyataannya sampai hari ini menggunakan satu permintaan MD5 dengan garam masih aman bagi para pengguna yang menggunakan kata sandi yang baik." Tidak. Tolong jangan menyebarkan informasi yang salah. Doa tunggal MD5 sama sekali tidak memadai.
Ayrx
10

Netflix - seperti kebanyakan situs web lain - tidak peduli dengan kata sandi Anda selama menjelajah normal. Sebaliknya, ketika Anda masuk, Netflix memiliki browser menyimpan 'cookie' dengan ID sesi login. Browser mengirimnya kembali setiap kali ia meminta halaman baru. (Demikian juga, penyimpanan kata sandi di Firefox tidak digunakan selama penjelajahan normal, tetapi hanya untuk mengisi kolom kata sandi secara otomatis di halaman login.)

Cookie sesi biasanya dibuat secara acak dan tidak memiliki kaitan dengan login atau kata sandi Anda - hanya Netflix sendiri yang dapat menautkannya ke akun Anda.

Untuk melihatnya, klik kanan halaman, pilih "Lihat Info Halaman", dan di bawah "Keamanan" klik "Lihat Cookie".

pengguna1686
sumber
5

Tidak ada yang salah dengan Netflix. Seperti hampir semua situs web yang dapat Anda masuki, cookie ini disimpan di PC Anda, yang antara lain, menyimpan data terenkripsi yang mewakili kata sandi Anda.

Pernahkah Anda melihat perilaku yang sama di Google, Facebook, Yahoo, Windows Live dan akun apa pun yang mungkin Anda pikirkan?

Beberapa layanan web dapat menggunakan cookie yang hanya valid untuk waktu singkat atau hanya dalam sesi saat ini (misalnya Yahoo dan Facebook kecuali Anda memilih opsi Remember me on this computer ). Namun ternyata Netflix menggunakan cookie yang valid untuk periode waktu yang lebih lama yang membuat Anda tetap masuk kecuali Anda menghapus riwayat browser Anda - terutama cookie.

Sekarang, Anda mungkin bertanya apa gunanya penyimpanan kata sandi di browser. Itu sangat sederhana. Jika Anda logout dari Netflix (atau apa pun yang lain) cookie akan dihapus. Jika Anda ingin masuk kembali, Anda harus memasukkan nama pengguna akun dan kata sandi. Jika Anda telah menyimpan kata sandi di peramban, ia akan melengkapi bidang itu secara otomatis saat Anda mengetik nama pengguna.

Cornelius
sumber
10
Klarifikasi - cookie tidak mengandung data yang mewakili kata sandi. Sebaliknya, mereka berisi data acak yang mengidentifikasi sesi yang terkait dengan akun Anda. Sesi disimpan di server.
ntoskrnl
0

Apakah Anda memeriksa cookie Anda? Kata sandi Anda, atau salinan kata sandi Anda yang dienkripsi, mungkin ada di sana.

nyanyian pujian
sumber
5
Itu akan menjadi desain yang sangat tidak aman. Praktik umum adalah menggunakan cookie sesi yang tidak terkait dengan kata sandi dengan cara apa pun.
kasperd
Tidak terlalu penting secara spesifik apa yang dia temukan di sana. Dia harus memeriksa cookie-nya.
himne