Quando mi registro su un sito web, c'è un modo per sapere se l'amministratore del sito sarà in grado di vedere la mia password? [duplicare]

6

Mi sembra che ogni volta che mi registro su un sito web, non ci sia assolutamente alcuna garanzia che l'amministratore non sia in grado di decrittografare e visualizzare la mia password (se addirittura si preoccupano di crittografare la mia password in primo luogo).

C'è un modo per sapere con quale sicurezza la mia password viene salvata su un accesso standard al sito web?

Ovviamente il modo migliore per proteggersi è usare una password diversa per ogni sito, tuttavia non è questa la domanda che sto chiedendo.

    
posta BenAdamson 09.03.2016 - 16:17
fonte

1 risposta

11

Se l'amministratore veramente vuole vedere la tua password, allora sarà in grado di farlo. Deve solo prenderlo quando lo si invia al server.

Se vuoi sapere quali dati dipendenti dalla password sono memorizzati sul lato server, allora questa è un'altra domanda. In generale, non puoi sapere come fanno le cose, ma a volte ottieni degli indizi. Fondamentalmente, la ragione cosa da memorizzare è un "token di verifica password" che è una versione hash della password, utilizzando un funzione di hashing della password . Se lo fanno, allora non possono recuperare la password e inviarla a te. Quindi, se c'è una "schermata di modifica della password" che può mostrarti la tua password, o se ti rispediscono la tua password via email quando fai clic sul pulsante "Ho dimenticato la password", allora sai che ciò che memorizzano è irragionevole. Plain Text Offenders è un sito Web di rabbia / vergogna che raccoglie resoconti di tali occorrenze, principalmente per essere in grado di indicare e prendere in giro questi siti poco sviluppati.

Ciò che non si può veramente sapere dall'esterno è se, quando memorizzano solo password con hash, usano una funzione di hashing password appropriata, o qualcos'altro. Di solito impari quanto male hanno fatto le cose quando vengono violate e viene estratto un elenco di password con hash: se le password vengono interrotte a una dozzina di dozzine al secondo, la funzione di hashing era piuttosto brutta ...

Il riutilizzo della password è troppo pericoloso. Dovresti usare una nuova password specifica per ogni sito - in questo modo, qualsiasi inettitudine da parte loro sarà contenuta in quel sito specifico. Per ricordare tutte queste password senza avere un cervello enormemente efficiente, potresti voler utilizzare un software di gestione password, ad es. KeePass .

    
risposta data 09.03.2016 - 16:27
fonte

Leggi altre domande sui tag