Un sito Web "si è rotto" dopo aver cambiato la mia password in qualcosa del tipo "NÌÿÖÏï £ Ø ¥ üQ ¢ ¨¼Ü9¨ÝIÇÅbÍm". Non ero in grado di accedere, e il servizio clienti cancellato il mio account e mi ha fatto crearne uno nuovo. Questo implica difetti di sicurezza nel codice del sito? Dovrei preoccuparmi delle mie credenziali?
Ovviamente sto usando un gestore di password, e il sito web mi consente di prenotare solo posti in un cinema, quindi le credenziali non hanno molto valore.
La tua descrizione è che il sito non riesce a convalidare correttamente il loro input. Questo (debolmente) implica un profondo difetto nel loro codice. Se il tuo input ha semplicemente soffocato la loro routine che chiama PBKDF2() , allora l'hash della tua password potrebbe non essere riproducibile; ma mi aspetterei che una semplice reimpostazione della password avrebbe dovuto essere sufficiente per risolvere questo problema. L'eliminazione del tuo account potrebbe indicare che il record del tuo account era corrotto; tuttavia, l'eliminazione degli account potrebbe essere semplicemente la risposta a chiunque abbia un problema con la password a causa di input imprevisti dell'utente. Potrebbero persino provare a ostacolare attivamente gli hacker con questa risposta.
Inoltre, imperfetto non significa necessariamente che il loro sito sia vulnerabile. Il codice difettoso dovrebbe essere sfruttabile e tu non ne hai fornito la prova. Tali prove potrebbero includere comportamenti erratici o valori inspiegabilmente modificati.
Se decidi di insistere ulteriormente, magari testando i singoli caratteri della password per isolare il glifo che ha causato il blocco del tuo account sul tuo account, sappi che sarebbero nei loro diritti considerare quei tentativi di essere un attacco di hacking. Cerca il permesso del proprietario del sito prima di sperimentare.
Si noti che se invece di utilizzare caratteri con set di bit elevato, si costruisce la password da 16 caratteri alfanumerici ASCII casuali, standard, ordinari, stampabili, crittografati, casuali, la differenza pratica nella sicurezza della propria password sarà irrilevante .
Molto probabilmente significa che (come la maggior parte dei programmi scritti dagli americani) non è mai stato testato con caratteri Unicode e hai esposto un bug nel loro codice. Non è una priorità alta da risolvere, quindi hanno semplicemente aggirato il problema dicendoti di non farlo.
È strano che il servizio clienti abbia cancellato e ricreato il tuo account invece di reimpostare la password, ma non incredibilmente preoccupante. Potrebbe essere che sono scarsamente qualificati per affrontare questa situazione e questo è solo l'approccio che hanno preso. Potrebbe anche darsi che il bug sia presente anche nella funzione di modifica della password per qualche ragione (forse memorizzano qualcosa crittografato con la tua password come chiave, e devono decodificarlo e quindi ricodificarlo con la nuova password?).
È probabile che un sito con questo tipo di problemi di progettazione e test abbia anche un difetto di sicurezza o due, ma questa è una correlazione statistica, non una cosa direttamente implicita dal bug osservato.
L'elaborazione della password dovrebbe essere un modulo che non produce o verifica più di un hash. Gli unici modi in cui una password complessa non può essere reinserita con successo sono due parti separate di codice che si suppone stiano facendo la stessa cosa ma che non lo fanno, o peggio, le password vengono memorizzate in testo normale.
Maggiore è l'elaborazione o la memorizzazione delle password in chiaro, più il sito è suscettibile di attacchi di estrazione di password o attacchi generali al sistema.
C'è un fumetto xkcd sull'elaborazione della password che supera il suo ambito immediato.
E naturalmente questo ricorda anche piccoli tavoli Bobby .
Riassumere entrambi i fumetti: disinfettare l'input prima di memorizzarlo ovunque e non sovrascrivere le password.
Mi dispiace se i miei riferimenti sono tutti di Randall Munroe ma le sue spiegazioni sono così grafiche ...
Probabilmente è un bug. Una regola empirica non è mai fidarsi di nessun sito web di terze parti poiché tutto è possibile. Non dare per scontato nulla è impossibile, ma sicuramente usa una password complessa ma solo con caratteri ASCII.