Woher kennt Netflix mein Passwort?

8

Immer wenn ich in Firefox zur Netflix-Hauptseite gehe, bin ich automatisch angemeldet.

Wenn ich jedoch die Liste der gespeicherten Kennwörter von Firefox öffne, stelle ich fest, dass Netflix nicht zu den Websites gehört, für die Firefox Kennwörter für ( Options -> Security -> Saved Passwords) aufbewahrt.

Woher kennt Netflix das Passwort, wenn Firefox es nicht speichert, und wo wird es gespeichert?

firefox passwords netflix Raben-Träumer
quelle
21
Ich verstehe nicht, in welchem ​​Teil dieses Szenarios Sie glauben, dass sie Ihr Passwort kennen. Grundsätzlich haben Sie nur gesagt: "Ich habe gerade einen Chromecast erhalten." und "Firefox hat mein Netflix-Passwort nicht gespeichert." Was lässt Sie an diesen beiden Tatsachen glauben, dass Netflix Ihr Passwort hat? Ich vermute, dieses Missverständnis ist auf etwas anderes als das zurückzuführen, was Sie in Ihrer aktuellen Frage aufgeführt haben. Vielleicht könnten Sie bearbeiten, um zu erklären, was dieses "Etwas" ist?
Ajedi32
1
@ Ajedi32 Ehrlich gesagt hatte ich gerade eine mentale Fehlzündung und ging davon aus, dass Firefox die Anmeldung durchführte, da ich bei jedem Öffnen von Netflix angemeldet bin. Völlig vergessen, dass Kekse eine Sache waren.
Raven Dreamer
4
Tatsächlich ist der Chromecast also völlig irrelevant.
David Z
@ DavidZ Es sei denn, jemand hatte Informationen darüber, wie man es über Firefox benutzt ... ja.
Raven Dreamer
@ RavenDreamer Das wäre eine andere Frage; so irrelevant, egal.
OJFord

Antworten:

31

Um Ihre erste Frage zu beantworten, kennt Netflix Ihr Passwort nicht .

Netflix und jede andere kompetente Website da draußen haschen Ihr Passwort mithilfe eines Einweg-Hashing-Schemas ( MD5 , SHA-1 , SHA-2 usw.).

Dadurch wird im Wesentlichen ein eindeutiger hexadezimaler Fingerabdruck fester Länge erstellt, der die Textzeichenfolge identifiziert, die Ihr Kennwort ist. So sieht mein sicheres Passwort beispielsweise aus, nachdem es mit MD5 gehasht wurde:

MD5-Hashing

Sie speichern diesen Hash in ihrer internen Datenbank. Jedes Mal, wenn Sie sich bei Netflix anmelden, wird das Kennwort, das Sie während des Anmeldevorgangs angeben, erneut nach demselben Schema gehasht und mit der Kopie des in ihrer Datenbank gespeicherten Hash-Kennworts abgeglichen.

Wenn sie übereinstimmen, wissen sie, dass Sie das richtige Passwort eingegeben haben und Zugriff erhalten. Wenn nicht, sind Sie nicht authentifiziert. Wenn Sie auf eine Variation des Links " Passwort vergessen" klicken , erhalten Sie daher nicht Ihr altes Passwort, sondern werden aufgefordert, ein neues Passwort auszuwählen. Das liegt daran, dass sie auch nicht wissen, wie Ihr Passwort lautet.

Wie werden Sie angemeldet, wenn Firefox das Kennwort für Netflix nicht gespeichert hat?

Die Antwort darauf sind Sitzungscookies . Wenn Sie sich bei Netflix angemeldet haben (möglicherweise vor einiger Zeit), haben Sie sich möglicherweise an Ihre Sitzung erinnert.
behalte mich in Erinnerung?

In diesem Fall speichert Firefox eine kleine Menge an Informationen auf Ihrem Computer, die Sie bei jedem Besuch von Netflix eindeutig identifizieren. Diese so genannten "Cookies" bleiben in der Regel für kurze Zeit bestehen, bis die Sitzung aktiv ist und dann abläuft. Einige können jedoch Wochen oder länger dauern. Löschen Sie dieses Cookie und Netflix wird sich nicht an Sie erinnern.

Netflix-Cookies

In Bezug auf Ihre zweite Frage wird Firefox, wenn es sich nicht an das Passwort "erinnert", nirgendwo gespeichert. Was gespeichert wird, ist der Cookie. Firefox speichert sie in seinem Profilordner in der Datei, cookies.sqlitedie eine SQLite- Datenbankdatei ist.

Wenn Sie sich über Ihr Facebook-Konto anmelden möchten, benötigen Sie kein Passwort und Firefox speichert keines.

Login mit Facebook

Es wird jedoch weiterhin ein Cookie erstellt, um Ihre Sitzung zu identifizieren.

Vinayak
quelle
23
MD5 ist eine Einbahnstraße, da es sich um eine Hash-Funktion handelt. Zu sagen, dass dies nicht der Fall ist, würde bedeuten, dass Sie die Originaldaten aus einem MD5-Hash durch einen kryptografischen Prozess erhalten könnten. Das kannst du nicht. Die Tools, die Sie erwähnen, können den Hash nur "umkehren", weil sie erhebliche Computerleistung investiert haben, um alle Arten von Kennwortkombinationen zu erzwingen, damit die ursprüngliche Kennwortzeichenfolge erreicht wird. Dies bedeutet nicht, dass MD5 reversibel ist. Hashing unterscheidet sich von Verschlüsselung, bei der Sie die Daten entschlüsseln können, wenn Sie über den Schlüssel verfügen. Auch beim Hashing ist die Ausgabe unabhängig von der Länge der Eingabe immer von fester Länge.
Vinayak
16
@Derek 功夫 會 功夫 MD5 ist kryptografisch "kaputt", aber es geht um Kollisionen , nicht um Vorbilder (die für Passwörter wichtig sind). MD5 ist auch schlecht für Passwörter, aber das liegt daran, dass es schnell ist , sodass Sie viele Passwörter in kurzer Zeit brutal erzwingen können (und dies gilt auch für modernere Hash-Funktionen wie SHA-2 und SHA -3). Siehe crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann
9
Ich muss nur für das MD5-Beispiel abstimmen, wie gut der Rest der Antwort auch sein mag. Dies ist einfach nichts, was Sie 2014 lesen möchten (bald 2015). Es war nie eine gute Idee, rohes MD5 (auch mit einem Salz) zum Speichern von Passwörtern zu verwenden, und die meisten Menschen haben dies im Laufe der letzten 10 Jahre erkannt. -1
Thomas
8
@Thomas Es tut mir leid, dass Sie so denken, aber meine Antwort sollte nie ein Leitfaden für die Auswahl des besten Hashing-Schemas sein. SuperUser ist nicht StackOverflow und ob es Ihnen gefällt oder nicht, MD5 ist immer noch eine kryptografische Hash-Funktion, sodass ich nicht sehe, was falsch daran ist, zu erklären, was ein Hash am Beispiel von MD5 ist.
Vinayak
7
@kasperd "Und tatsächlich ist die Verwendung eines einzelnen Aufrufs von MD5 mit einem Salt bis heute für Benutzer sicher, die gute Kennwörter verwenden." Bitte verbreiten Sie keine Fehlinformationen. Ein einzelner Aufruf von MD5 ist völlig unzureichend.
Ayrx
10

Netflix kümmert sich - wie die meisten anderen Websites - beim normalen Surfen nicht um Ihr Passwort. Wenn Sie sich anmelden, speichert Netflix im Browser stattdessen ein "Cookie" mit der ID der Anmeldesitzung. Der Browser sendet es jedes Mal zurück, wenn er eine neue Seite anfordert. (Ebenso wird der Kennwortspeicher in Firefox beim normalen Surfen nicht verwendet, sondern nur zum automatischen Ausfüllen des Kennwortfelds auf den Anmeldeseiten.)

Die Sitzungscookies werden normalerweise zufällig generiert und haben keine Beziehung zu Ihrem Login oder Passwort. Nur Netflix selbst kann sie mit Ihrem Konto verknüpfen.

Um sie anzuzeigen, klicken Sie mit der rechten Maustaste auf die Seite, wählen Sie "Seiteninformationen anzeigen" und klicken Sie unter "Sicherheit" auf "Cookies anzeigen".

user1686
quelle
5

An Netflix ist nichts auszusetzen. Wie bei fast allen Websites, auf denen Sie sich anmelden können, wird auf Ihrem PC ein Cookie gespeichert, in dem unter anderem verschlüsselte Daten gespeichert sind, die Ihr Kennwort darstellen.

Haben Sie nicht dasselbe Verhalten bei Google, Facebook, Yahoo, Windows Live und einem anderen Konto gesehen, an das Sie vielleicht denken?

Einige Webdienste verwenden möglicherweise Cookies, die nur für einen kurzen Zeitraum oder nur in der aktuellen Sitzung gültig sind (z. B. Yahoo und Facebook, sofern Sie nicht die Option Auf diesem Computer speichern auswählen ). Aber anscheinend verwendet Netflix Cookies, die für einen längeren Zeitraum gültig sind, wodurch Sie angemeldet bleiben, es sei denn, Sie löschen Ihren Browserverlauf - insbesondere Cookies.

Jetzt fragen Sie sich möglicherweise, wie der Passwortspeicher im Browser verwendet wird. Das ist sehr einfach. Wenn Sie sich von Netflix abmelden (oder was auch immer), wird das Cookie gelöscht. Wenn Sie sich erneut anmelden möchten, müssen Sie sowohl den Benutzernamen des Kontos als auch das Kennwort eingeben. Wenn Sie Ihr Passwort im Browser gespeichert haben, wird dieses Feld automatisch ausgefüllt, wenn Sie den Benutzernamen eingeben.

Cornelius
quelle
10
Klarstellung - Cookies enthalten keine Daten, die Passwörter darstellen. Sie enthalten vielmehr zufällige Daten, die eine Sitzung identifizieren , die Ihrem Konto zugeordnet ist. Die Sitzungen werden auf dem Server gespeichert.
Ntoskrnl
0

Haben Sie Ihre Cookies überprüft? Möglicherweise befindet sich dort Ihr Passwort oder eine verschlüsselte Kopie Ihres Passworts.

Hymie
quelle
5
Das wäre ein schrecklich unsicheres Design. In der Regel wird ein Sitzungscookie verwendet, der in keiner Weise mit dem Kennwort zusammenhängt.
Kasperd
Es ist nicht wirklich wichtig, was er dort findet. Er sollte seine Kekse überprüfen.
Hymie