L'accesso e-mail accetta la password errata se tutto è corretto tranne l'ultima cifra

Question

L'accesso e-mail accetta la password errata se tutto è corretto tranne l'ultima cifra

#1 da (8 voti)
#2 da (5 voti)

3

Una rapida domanda: chiedersi se si tratta di una pratica di sicurezza accettata o perché sarebbe possibile. Uso una e-mail Shaw.ca (un fornitore di servizi canadese) e accidentalmente ho sbagliato a digitare la mia password. Ho fatto clic su invio e ancora è stato in grado di accedere. Dopo alcuni esperimenti, ho scoperto che se ho digitato in modo errato solo l'ultimo carattere del login, le mie informazioni sono state accettate. Ad esempio, se la mia password è Example123 , verranno accettati tutti i Example124 , Example12u e Example12 # . Gli altri personaggi cambiati non hanno alcuna differenza. Qualche idea sul perché questo sarebbe il caso?

email passwords

posta Jason 10.07.2016 - 07:33

fonte

2 risposte

Leggi altre domande sui tag email passwords

Safari ha scaricato la mia fonte php una volta. Dovrei preoccuparmi? Opzioni di montaggio sicuro + partizionamento su Ubuntu

score 8 · Answer 1

No, questa pratica di sicurezza non è accettata. Ma probabilmente non è l'unico servizio che taglia in silenzio la password inserita dopo un numero fisso di caratteri. Consulta la documentazione se documentano questo comportamento. Se questo è un comportamento se non è documentato, contattalo in modo che risolvino questo comportamento o almeno rendano questo cattivo comportamento ovvio per gli utenti.

score 5 · Answer 2

Questo usato è una pratica comune tra la fine degli anni '70 e l'inizio degli anni '80. Allora i sistemi UNIX hanno troncato le password degli utenti a 8 caratteri prima di crittografarli. I sistemi operativi più recenti utilizzano algoritmi che non pongono limiti (ragionevoli) alla lunghezza della password, ma alcuni sistemi operativi supportano ancora il vecchio metodo di crittografia per la compatibilità con le versioni precedenti. Ciò significa che il sistema di posta elettronica è uno di questi:

È davvero così vecchio e nessuno si è mai preso la briga di cambiare il metodo di crittografia della password (a loro difesa: cambiare il metodo di crittografia della password senza che tutti gli utenti reimpostino le proprie password spesso non è così facile)
È stato erroneamente configurato per errore.
È stato intenzionalmente erroneamente configurato da qualcuno che crede che il vecchio metodo sia abbastanza buono e che il più recente sarebbe uno spreco di risorse (che è ridicolo, ma ho incontrato persone che la pensano così).

Conclusione: ottieni un fornitore di e-mail migliore. Quando qualcuno controlla il tuo account e-mail, spesso consente loro di reimpostare la password per ogni servizio online che stai utilizzando. Quindi è troppo importante affidarsi a persone che non sanno quello che stanno facendo in termini di sicurezza.