Non sto chiedendo perché l'hashing dovrebbe essere fatto. Invece, voglio sapere come impedire che gli sviluppatori registrino le password degli utenti per hackerare gli altri account degli utenti, in particolare la loro email.
Non potrebbero memorizzare le password dei loro utenti in testo semplice senza che gli utenti sappiano?
C'è un modo per un utente di rilevarlo / impedirlo?
Certo che potevano, ma potevano anche semplicemente mandare email ogni volta che cambiate la vostra password.
Ora, a seconda del tipo di sistema, ci sono un sacco di regolamenti, verifiche, revisioni e processi che potrebbero essere rilevanti per garantire che gli sviluppatori non lo facciano, o molti altri tipi di attività dannose. Tuttavia, tu, come consumatore, di solito non hai molte informazioni in proposito, tranne nel caso in cui non funzioni, ad esempio se ti inviano una e-mail con la tua password originale quando chiedi di ripristinarla.
Ma stai facendo la domanda sbagliata qui.
Sì, è importante che qualunque sistema tu usi sia sviluppato in modo sicuro, ma questo non rimuoverà mai l'elemento di fiducia implicita che avrai sempre nel sistema stesso e, in questo contesto, gli sviluppatori sono equivalenti al sistema stesso.
La vera domanda che dovresti porre - e in effetti sembra che tu stia insinuando - è come proteggere i tuoi altri account, su altri sistemi, da uno sviluppatore malevolo o da un sistema .
La risposta è semplice, davvero: usa una password diversa per ogni sistema.
Consentitemi di ripeterlo, per dare enfasi:
NEVER REUSE PASSWORDS ON DIFFERENT SYSTEMS.
Crea una password univoca (strong, casuale, ecc.) per ogni sito e non immetti mai la password per SitoA su Sito B.
Perché come hai notato intuitivamente, se SiteB ha la tua password per SiteA in qualsiasi forma, allora quella password non è più protetta da SiteB.
Solo per divertimenti, ecco un xkcd su questo :
Un'ultima nota, se stai iniziando a preoccuparti "Come diamine, ricorderò una password sicura indipendentemente per ogni sito diverso ?? !!?" - Dai un'occhiata a questa domanda qui sui passphrase , e guarda anche ai gestori di password (ad es. Password Safe, Keepass, LastPass, 1Pass, ecc.).
Non puoi sapere che qualcuno si comporterà in modo etico o saggio, quindi:
Ho paura che alcuni sviluppatori non siano lungimiranti sufficienti a comprendere le implicazioni di una perdita di informazioni per i propri utenti, quindi proteggiti anziché affidarti ad altri.
Come altri hanno già detto, non puoi conoscere appieno ciò che gli sviluppatori stanno facendo con i tuoi dati una volta che li hai consegnati. Potrebbe darti una certa sicurezza per esaminare come funziona il sito per vedere se seguono le migliori pratiche di sicurezza sulle parti del sistema a te visibili.
Il controllo di queste caselle non garantisce che non stiano facendo qualcosa di losco altrove, ma ti dà un'idea migliore di come gli sviluppatori hanno configurato il sito.
Come accennato, evitare il riutilizzo della password è la pratica di sicurezza più importante che puoi seguire per proteggerti.
Un modo in cui puoi dire che sono in grado di ottenere la tua password è se il sistema di password dimenticata è in grado di inviarti tramite email la tua vecchia password. Se ti obbliga a generarne o impostarne uno nuovo, è comunque possibile che siano stati archiviati in crittografia a testo semplice / bidirezionale.
L'altro modo in cui puoi dire è iscrivendoti a un account di hotmail gratuito e registrandoti su alcuni siti (fidati) con la stessa password, vedi se succede qualcosa.
Oltre a questo, non puoi davvero dirlo.
L'unico modo in cui un sito web può dimostrare che NON sta memorizzando la tua password in testo semplice è di non riceverlo mai in chiaro. Questo può essere ottenuto solo tramite script di hashing lato client. A meno che tu non possa analizzare il codice del sito web e / o sniffare il traffico, devi presupporre che l'amministratore abbia piena conoscenza della tua password in testo semplice.
Vedi questa domanda di un amministratore che voleva dare tranquillità ai suoi utenti tu cerchi. ha molte risposte interessanti, sebbene la maggior parte di esse si concentri sulla sicurezza anziché sulla prova della non-memorizzazione-testo in chiaro.
Leggi altre domande sui tag passwords