Servizi di snash di Ebay: le password sono memorizzate in testo normale?

7

Per chi non lo sapesse, i servizi di sniping di eBay sono organizzazioni di terze parti che le persone possono utilizzare per fare offerte su un'asta di eBay all'ultimo secondo, ovviamente questo richiede all'utente di fornire i dettagli dell'account di eBay in modo che il servizio possa accedere al proprio account per fai l'offerta.

La mia domanda è, le password su questi servizi dovrebbero essere archiviate in testo normale? Dopo tutto, una password hash memorizzata sui server dello sniper non sarebbe molto utile per accedere all'account eBay di un utente, vero? In caso contrario, in che modo questi servizi memorizzano le credenziali eBay degli utenti in modo sicuro?

    
posta yogalD 07.08.2016 - 10:52
fonte

2 risposte

3

would the passwords on these services be stored in plain text

Poiché hanno bisogno della tua password in testo semplice per accedere ad ebay, dovrebbero archiviarlo come testo normale o crittografato in modo reversibile (cioè non con hash). In quest'ultimo caso ci deve essere un modo per decifrare la password, cioè una chiave leggibile o una libreria che esegue la decrittazione (e che potrebbe interfacciarsi con una memoria sicura basata sull'hardware).

Sebbene i dettagli esatti siano specifici per ciascun servizio, puoi riassumere che se il servizio viene compromesso la tua password verrà probabilmente esposta, direttamente perché è stata archiviata in formato testo normale o indirettamente perché è stata decifrata.

    
risposta data 07.08.2016 - 11:10
fonte
9

Non possiamo davvero dirti in che modo i servizi specifici implementano questa funzionalità.

Ma possiamo dirti cosa è possibile:

  1. Memorizzano le credenziali. Questo non può accadere in forma hash, poiché è richiesta la password in chiaro. Al massimo, viene memorizzato in forma crittografata, il che significa che tutte le password verranno divulgate se un utente malintenzionato accede alla chiave. Se devi inserire la tua password ebay quando ti iscrivi al servizio, puoi presumere che questo caso si applica. Ti suggerisco vivamente di non esporre la tua password a servizi terzi.
  2. Usano l'API ebay [*]. Utilizza i token per autenticare un utente, quindi l'utente non entra effettivamente la loro password su qualsiasi sito di terze parti, ma invece questi siti ottengono un token di accesso.

[*] Questa è una speculazione. In teoria, dovrebbe essere possibile implementare funzionalità di sniping tramite questa API - fornisce funzionalità di offerta e autenticazione -, ma non ho provato a implementarla in pratica.

    
risposta data 07.08.2016 - 11:17
fonte