Cosa c'è di sbagliato in una pagina di conferma che mostra la mia password?

2

Mi sono appena registrato per una gara e la pagina di conferma mi ha fatto venire i brividi. Vedi sotto per uno screenshot con dati falsi.

Non conosco la sicurezza di Internet. A parte il fatto ovvio che se mi iscrivessi in un luogo pubblico, chiunque poteva guardare da dietro le spalle e vedere la mia password, cosa c'è di sbagliato nel visualizzare una password utente in testo normale su una pagina di conferma ?

EDIT: Sì, è un sito https.

EDIT: Inoltre, hanno incluso la password in un'email di conferma. Sono frustrato perché la password che ho usato non è completamente unica. Lo uso anche su altri siti.

    
posta sgryzko 05.03.2014 - 15:30
fonte

3 risposte

5

Il problema qui potrebbe essere semplice come essere qualcuno dietro di te che potrebbe leggere la tua password direttamente dallo schermo ma considera anche che, se quella pagina viene servita tramite "HTTP" e non "HTTPs", la tua password viaggerà in chiaro testo tramite internet e chiunque potrebbe semplicemente prendere il pacchetto e leggerlo chiaramente.

Ma il problema può essere ancora più grande se si limita a memorizzare la password in testo normale nei propri database poiché una volta che vengono violati probabilmente avranno molte password per molte persone che probabilmente usano quella stessa password con l'account fornito.

È chiaramente una negligenza di sicurezza.

    
risposta data 05.03.2014 - 15:34
fonte
2

Dati i dettagli aggiunti nella tua modifica, direi che è probabile che la tua password non venga archiviata in modo sicuro.

I tuoi dati sulla rete sono sicuri, dato che sta utilizzando https . Tuttavia, sembra che la tua password venga archiviata come testo normale o crittografato (non molto meglio). Potremmo dire che forse lo fanno solo a breve termine, ma possiamo usare Occam's Razor qui. Che cosa è più probabile? Che uno sviluppatore ha avuto il tempo di utilizzare un meccanismo di archiviazione temporaneo solo per inviarti via email la tua password in testo semplice, e poi cancellarlo in modo sicuro? O è semplicemente memorizzato come testo in chiaro (o un qualche tipo di crittografia).

Dato che hai menzionato l'uso della stessa password per altri siti (il tuo errore), andrei avanti e cambio la tua password per altri siti. Probabilmente sarebbe "ok" ma l'hai postato su un sito incentrato sulla sicurezza, quindi qualcuno qui potrebbe incuriosirsi su cos'altro è debole. (Sarebbero dei cretini - questo è per beneficenza, ma hey, succede.)

Per riassumere:

What is wrong with a confirmation page displaying my password?

Nulla, intrinsecamente, tranne che gli spettatori possono vedere la tua password visualizzata. Indica un certo livello di spensieratezza quando si parla di sicurezza. Il fatto di averlo anche inviato via email in chiaro indica che la tua password è stata gestita in modo errato. In casi come questo, rinunci solo alle informazioni che non ti dispiace essere compromesso e scegli una password "usa e getta" unica.

    
risposta data 05.03.2014 - 16:08
fonte
1

La password stessa non dovrebbe mai essere memorizzata sul server, solo l'hash unidirezionale si ottiene inserendo la password attraverso una funzione hash non reversibile, non appena viene inserita nel modulo di registrazione. In sostanza, non dovrebbero avere la tua password per visualizzarla. Il grigio è assolutamente corretto, questo non parla bene per come gestiscono il resto dei tuoi dati, e dovresti sicuramente cambiare questa password su qualsiasi altro account in cui l'hai usata.

Fondamentalmente l'intero sistema di autenticazione con password è rotto, e lo sappiamo tutti, ma nessuno ha escogitato un'alternativa valida. In futuro, potresti prendere in considerazione l'utilizzo di un gestore di password come LastPass, che ti consente di impostare una password master robusta e di generare password incredibilmente lunghe e complesse per qualsiasi sito con cui lavori e memorizzarle in modo corretto. Ehi, lo facciamo tutti, nessuno può ricordare password complesse uniche per tutti i siti a cui accediamo. Un manager è un buon inizio verso la sanità mentale ... Buona fortuna e cambia quelle password!

    
risposta data 06.03.2014 - 06:21
fonte

Leggi altre domande sui tag