Come posso sapere che gli sviluppatori saranno etici e non registreranno la mia password in chiaro

52

Non sto chiedendo perché l'hashing dovrebbe essere fatto. Invece, voglio sapere come impedire che gli sviluppatori registrino le password degli utenti per hackerare gli altri account degli utenti, in particolare la loro email.

Non potrebbero memorizzare le password dei loro utenti in testo semplice senza che gli utenti sappiano?

C'è un modo per un utente di rilevarlo / impedirlo?

    
posta poush 07.06.2015 - 07:03
fonte

5 risposte

80

Certo che potevano, ma potevano anche semplicemente mandare email ogni volta che cambiate la vostra password.

Ora, a seconda del tipo di sistema, ci sono un sacco di regolamenti, verifiche, revisioni e processi che potrebbero essere rilevanti per garantire che gli sviluppatori non lo facciano, o molti altri tipi di attività dannose. Tuttavia, tu, come consumatore, di solito non hai molte informazioni in proposito, tranne nel caso in cui non funzioni, ad esempio se ti inviano una e-mail con la tua password originale quando chiedi di ripristinarla.

Ma stai facendo la domanda sbagliata qui.
Sì, è importante che qualunque sistema tu usi sia sviluppato in modo sicuro, ma questo non rimuoverà mai l'elemento di fiducia implicita che avrai sempre nel sistema stesso e, in questo contesto, gli sviluppatori sono equivalenti al sistema stesso.

La vera domanda che dovresti porre - e in effetti sembra che tu stia insinuando - è come proteggere i tuoi altri account, su altri sistemi, da uno sviluppatore malevolo o da un sistema .
La risposta è semplice, davvero: usa una password diversa per ogni sistema.

Consentitemi di ripeterlo, per dare enfasi:

NEVER REUSE PASSWORDS ON DIFFERENT SYSTEMS.

Crea una password univoca (strong, casuale, ecc.) per ogni sito e non immetti mai la password per SitoA su Sito B.
Perché come hai notato intuitivamente, se SiteB ha la tua password per SiteA in qualsiasi forma, allora quella password non è più protetta da SiteB.

Solo per divertimenti, ecco un xkcd su questo :

Un'ultima nota, se stai iniziando a preoccuparti "Come diamine, ricorderò una password sicura indipendentemente per ogni sito diverso ?? !!?" - Dai un'occhiata a questa domanda qui sui passphrase , e guarda anche ai gestori di password (ad es. Password Safe, Keepass, LastPass, 1Pass, ecc.).

    
risposta data 07.06.2015 - 11:24
fonte
12

Non puoi sapere che qualcuno si comporterà in modo etico o saggio, quindi:

  1. Non riutilizzare mai le password tra i siti.
  2. Decidi quante informazioni condividere.
  3. Nascondi le informazioni che non sono necessarie e sospetti qualsiasi sito web che richiede più informazioni del necessario per fornirti un determinato servizio.

Ho paura che alcuni sviluppatori non siano lungimiranti sufficienti a comprendere le implicazioni di una perdita di informazioni per i propri utenti, quindi proteggiti anziché affidarti ad altri.

    
risposta data 07.06.2015 - 12:48
fonte
5

Come altri hanno già detto, non puoi conoscere appieno ciò che gli sviluppatori stanno facendo con i tuoi dati una volta che li hai consegnati. Potrebbe darti una certa sicurezza per esaminare come funziona il sito per vedere se seguono le migliori pratiche di sicurezza sulle parti del sistema a te visibili.

  • Usano HTTPS su pagine con informazioni sensibili (incluso il login)?
  • Evitano di trasmettere la frase segreta ovunque, inclusa la posta elettronica (nemmeno per te)?
  • Consentono l'autenticazione a due fattori?

Il controllo di queste caselle non garantisce che non stiano facendo qualcosa di losco altrove, ma ti dà un'idea migliore di come gli sviluppatori hanno configurato il sito.

Come accennato, evitare il riutilizzo della password è la pratica di sicurezza più importante che puoi seguire per proteggerti.

    
risposta data 08.06.2015 - 15:22
fonte
4

Un modo in cui puoi dire che sono in grado di ottenere la tua password è se il sistema di password dimenticata è in grado di inviarti tramite email la tua vecchia password. Se ti obbliga a generarne o impostarne uno nuovo, è comunque possibile che siano stati archiviati in crittografia a testo semplice / bidirezionale.

L'altro modo in cui puoi dire è iscrivendoti a un account di hotmail gratuito e registrandoti su alcuni siti (fidati) con la stessa password, vedi se succede qualcosa.

Oltre a questo, non puoi davvero dirlo.

    
risposta data 07.06.2015 - 10:14
fonte
2

L'unico modo in cui un sito web può dimostrare che NON sta memorizzando la tua password in testo semplice è di non riceverlo mai in chiaro. Questo può essere ottenuto solo tramite script di hashing lato client. A meno che tu non possa analizzare il codice del sito web e / o sniffare il traffico, devi presupporre che l'amministratore abbia piena conoscenza della tua password in testo semplice.

Vedi questa domanda di un amministratore che voleva dare tranquillità ai suoi utenti tu cerchi. ha molte risposte interessanti, sebbene la maggior parte di esse si concentri sulla sicurezza anziché sulla prova della non-memorizzazione-testo in chiaro.

    
risposta data 08.06.2015 - 19:25
fonte

Leggi altre domande sui tag