Se un sito web mostra quale è stata modificata la mia password, è memorizzato come testo normale?

32

Ho appena cambiato la password su un sito Web relativo alla scuola. Dopo aver completato con successo la modifica, la pagina successiva mostra a cosa è stata modificata la password. Posso concludere da questo che la password è not essere memorizzata solo come hash?

    
posta jclarkv 31.03.2015 - 14:10
fonte

5 risposte

53

No, non puoi concludere quello.

La password può essere sottoposta a hashing solo sul lato server, il che implica che la password sia inviata in chiaro al server e memorizzata in una variabile. Quindi, nulla impedisce all'applicazione Web di visualizzare la password inviata all'utente, nel caso in cui lo stesso script che ha ricevuto la password ti dia il feedback sulla modifica della password.

D'altra parte, se un intero altro modulo ti fornisce la password in testo semplice (forse una funzione di recupero della password), potresti concludere che non è con hash.

Modifica: per evitare confusione, in questo caso il "testo normale" non fa riferimento a SSL in alcun modo, suggerisce semplicemente che la password non viene inviata pre-hash al server.

    
risposta data 31.03.2015 - 14:27
fonte
14

Non è possibile concludere che la password sia stata salvata in testo normale se è stata visualizzata di nuovo subito dopo averla modificata. D'altro canto, se viene visualizzato dopo un po '(per esempio giorni) può essere un buon suggerimento che la password non sia effettivamente hash (è memorizzata in testo normale o crittografata).

In ogni caso, la rivisualizzazione di una password non è chiaramente una best practice perché potrebbe compromettere molto di più del sito web che viene effettivamente visitato.

    
risposta data 31.03.2015 - 14:47
fonte
4

Come altri hanno menzionato, questo non significa necessariamente che la password sia memorizzata in testo normale, ma è un brutto segno e cattiva pratica.

Alcuni modi per determinare se la password è memorizzata in testo normale sono:

  1. Utilizzo del recupero della password per vedere se ti viene inviata per email (questo indica al massimo testo in chiaro o crittografia a 2 vie).
  2. Verifica i requisiti della password, se c'è una lunghezza massima bassa (ad esempio 15 - 20 caratteri) è un buon indicatore che è memorizzata in testo normale.

In generale, dovresti utilizzare una password univoca per ogni sito, soprattutto se vedi degli indicatori che non sono memorizzati correttamente.

    
risposta data 31.03.2015 - 17:43
fonte
0

No no. La password è probabilmente inviata alla pagina in cui è visualizzata e allo stesso tempo è memorizzata. Non possiamo dire se è memorizzato o meno hash ma la visualizzazione della password non significa che non sia hash. Come le altre risposte, sono d'accordo sul fatto che sia una pessima idea mostrare la password nella pagina successiva in testo normale. Comunque è brutto mostrarlo. Non è il miglior esempio, ma cosa succede se hai cambiato la password quando sei (nel tuo caso) con uno studente accanto a te. Digli di voltarti mentre digiti la password. Dici che hai digitato la tua password, si gira, la pagina successiva si sta caricando e la persona può solo vedere la tua password. Il mio amico era nella stessa situazione e ho visto la sua password.

    
risposta data 31.03.2015 - 18:34
fonte
0

Chiedi all'amministratore.

In realtà, la mia esperienza è che ti diranno se stanno memorizzando la password in testo semplice.

Per rispondere direttamente alla tua domanda, in base alle informazioni fornite non è possibile sapere se la password è archiviata (in locale o in remoto) in testo normale oltre quella sessione.

    
risposta data 02.04.2015 - 16:47
fonte

Leggi altre domande sui tag