Memorizzazione delle password dei social media dell'utente

Naviga le tue risposte
2

Sto cercando di capire in che modo un servizio Snaplytics fidato da alcune aziende di alto livello è in grado di raccogliere la password dei loro clienti per snapchat e memorizzarli nel loro db pur essendo in grado di accedere periodicamente al proprio account Snapchat. La mia comprensione per la memorizzazione delle password consiste nell'utilizzare un metodo sicuro come bcrypt. Per non memorizzare mai password di testo normale. Ma se Snaplytics si collega periodicamente agli account, ha bisogno della password in chiaro per accedere a Snapchat. Ma sono sicuro che bcrypt è una funzione di hash unidirezionale, quindi come fanno gli snaplytics a "proteggere" la password dei client e ad accedere al proprio account.

Di seguito è riportata un'immagine della richiesta di password in cui viene indicato che "la password verrà crittografata e archiviata in modo sicuro"

    
posta testinggnitset ser 03.06.2017 - 19:45
fonte

1 risposta

4

Snaplytics dice che crittografano la password, non l'hash. Quando i dati vengono crittografati, possono essere decrittografati sul testo in chiaro originale con l'uso di una chiave, che, auspicabilmente, Snaplytics mantiene al sicuro internamente. In questo modo, le password non vengono archiviate in testo semplice e sono difficili da recuperare se il database di Snaplytics viene compromesso, ma quando Snaplytics deve accedere all'account di un utente, è possibile recuperare la password in testo semplice quanto basta per autenticarsi con Snapchat. Ho dato un'occhiata al loro sito e non vedo alcuna informazione su quale specifica crittografia stanno usando.

È corretto che quando si esegue un servizio che utilizza l'autenticazione della password, è necessario disporre di password hash prima di memorizzarle nel database perché non è necessaria la password in chiaro. Tuttavia, Snaplytics deve trasmettere la password a Snapchat in testo semplice, in modo che Snapchat possa (si spera) eseguirne l'hash e utilizzarlo per l'autenticazione, quindi Snaplytics non ha la possibilità di archiviarlo tramite un hash unidirezionale.

    
risposta data 03.06.2017 - 20:30
fonte

Leggi altre domande sui tag

CVE-2017-5428 (mfsa2017-08) è un giorno zero? Esistono soluzioni alternative per CVE-2017-0561 (esecuzione di codice in modalità remota Wi-Fi Broadcom) su Android?