Wenn ein "Passwort vergessen?" Seite E-Mails Ihr altes Passwort, ist das der endgültige Beweis, dass sie es im Klartext gespeichert haben?

8

Wenn eine Site Ihr altes Passwort per E-Mail sendet, anstatt dass Sie es auf der Site zurücksetzen müssen, frage ich mich, was dies für ihre Sicherheitsmaßnahmen bedeutet.

Bedeutet dies, dass sie das Passwort zur Vereinfachung im Klartext speichern oder das Passwort weiterhin verschlüsseln können?

security passwords encryption S. Michaels
quelle
Im Zusammenhang mit dieser Frage - superuser.com/questions/46810/...
ChrisF
3
Die Verschlüsselung ist ein bidirektionaler Prozess, bei dem Sie die Informationen mit dem richtigen Schlüssel irgendwie entschlüsseln können. Passwörter sollten normalerweise stattdessen Hashing verwenden. Dies ist theoretisch eine Einwegcodierung, bei der das Passwort zu einem bestimmten Hashwert führt - der schwer oder unmöglich umzukehren ist. Wenn Sie sich dann anmelden, wird Ihr eingegebenes Passwort auf die gleiche Weise codiert und mit dem gespeicherten codierten Wert verglichen und lässt Sie ein, wenn sie übereinstimmen. In der Praxis können Sie den Prozess manchmal durch verschiedene Brute-Force-Prozesse wie die Verwendung von Regenbogentabellen
umkehren
2
Unabhängig davon, ob sie es verschlüsselt hatten oder nicht, schickten sie es in einer Plan-Text-E-Mail! Diese Website ist in keiner Weise ernst gemeint oder weist auf Sicherheit hin. Hoffentlich haben Sie ihnen kein Passwort gegeben, das Sie irgendwo anders verwenden. Recht?
DanO
Ich habe eine Website verlassen, weil sie darauf bestanden, mir einmal im Monat meinen Benutzernamen und mein Passwort per E-Mail zu senden, unabhängig davon, ob ich danach gefragt habe oder nicht. Ich habe ihnen mehrmals eine E-Mail geschickt, um ihnen zu sagen, dass dies keine gute Praxis ist, und dann aufgegeben.
TRiG

Antworten:

25

Sie verwenden möglicherweise eine Verschlüsselung, wenn das Kennwort in der Datenbank gespeichert ist, sollten es jedoch überhaupt nicht in einem abrufbaren Format speichern, verschlüsselt oder auf andere Weise.

Sie sollten einen Einweg-Hash des Passworts (plus ein Salz ) verwenden. Dies bedeutet, dass sie überprüfen können, ob das von Ihnen eingegebene Passwort jetzt mit dem zuvor angegebenen übereinstimmt, aber sie (oder ein Cracker mit Zugriff auf ihre Datenbank) können nicht herausfinden, um was es sich handelt. Das Verschlüsseln des Passworts bedeutet, dass ein Cracker die Datenbank und den Verschlüsselungsschlüssel finden müsste. Da sich der Schlüssel jedoch auf dem Server befinden muss, der die Website bedient, ist dies kaum vorstellbar.

Wenn sie Ihnen also Ihr Passwort senden können, bedeutet dies, dass sie nicht den bekannten Best Practices für die Sicherheit folgen.

Eine schlechte Praxis wie diese ist ein guter Grund , für jede Website, auf der Sie sich registrieren, ein anderes Passwort zu verwenden .

Dave Webb
quelle
9
Übrigens, danke, dass du sie Cracker statt Hacker nennst !
NVRAM
Abgesehen davon werden Zwei-Wege-Hashes von großen Banken als sicher genug angesehen, um Kreditkarteninformationen zu speichern.
Runako
1
@ Runako: Was ist ein Zwei-Wege-Hash? Eine Hash-Funktion liefert normalerweise einen Wert einer bestimmten Größe. Dies bedeutet, dass das Original nur gefunden werden kann, wenn das Original nicht größer als der Hash-Wert ist.
David Thornley
1
Entschuldigung, falsch geschrieben. Das hätte "Zwei-Wege-Funktion" sein sollen.
Runako
19

Auch wenn es ist verschlüsselt und sicher, dass E-Mail war in keiner Weise zu sichern.

Eine Sache , die Sie tun , wissen sie , unter Verwendung von E-Mail , ist Ihr Passwort jetzt fast
sicher im Klartext an vielen gespeicherten anderen Orten :

  • Auf ihrem Mailserver
  • Auf dem Server Ihres E-Mail-Anbieters
  • In den Browser- oder E-Mail-Speicherverzeichnissen Ihres Computers
  • Auf der Festplatte / den Protokollen von Personen, die unterwegs möglicherweise "zugehört" haben
  • ... und möglicherweise bei jedem Internet-Sprung zwischen Ihnen und dieser Site.
Robert Cartaino
quelle
1

Wie Dave sagte, könnten und hoffen sie Verschlüsselung verwenden, aber ich habe Websites gesehen, auf denen Passwörter im Klartext gespeichert sind. Sie können auch ein neues temporäres Passwort generieren, wenn Sie auf die Schaltfläche Ich habe mein Passwort vergessen klicken, die Sie beim ersten Anmelden ändern müssen. Unter dem Strich wissen Sie nicht, wie sie Ihr Passwort speichern. Wenn die Website nicht von derselben Firma gehostet wird, von der Sie Unterstützung erhalten, und nur wenige Personen, ist es unwahrscheinlich, dass Sie jemanden danach fragen können wissen, wie es gespeichert ist, und selbst wenn sie wüssten, dass es unwahrscheinlich ist, würden sie es Ihnen sagen.

Beaner
quelle
0

Die Antwort lautet NEIN - dies ist kein Beweis für irgendetwas.

In jedem Fall haben Sie keine Möglichkeit zu wissen, wie die Passwörter intern gespeichert werden. Höchstwahrscheinlich verwenden sie eine Datenbank wie MySQL, und es kann sein, dass sie nicht in der Datenbank verschlüsselt sind. Es ist jedoch immer noch möglich, dass sie die gesamte Datenbank bewusst auf einigen verschlüsselten Medien wie TrueCrypt speichern . Sie können nur hoffen, dass sie genügend Maßnahmen ergriffen haben, um Ihre Privatsphäre zu schützen.

harrymc
quelle
6
Es ist ein Beweis dafür, dass sie nicht verschlüsselt mit einem Einweg- Hash gespeichert sind und daher das Klartextkennwort abgerufen werden kann.
NVRAM
1
Abgerufen ist nicht dasselbe wie einfacher Text. Abgerufen kann auch entschlüsselt bedeuten. Klartext bedeutet, als einfacher Text gespeichert zu werden, den man ohne großen Aufwand anzeigen kann.
Harrymc
1
Wenn es entschlüsselt werden kann, ist es nicht sicher. Übernehmen Sie die Authentifizierungsbox und Sie haben die Schlüssel, um alle Passwörter zu entschlüsseln.
Jeremy L
1
Yah, übernimm den Site Server und du kannst Passwörter protokollieren, noch bevor sie in eine Richtung gehasht werden. Komm schon Leute, du bist dumm.
Harrymc