È possibile inviare la password in formato testo con SHA-256?

1

Mi sono appena registrato su un sito in cui dovevo specificare le informazioni sensibili, ad es. il mio numero di carta Ho ricevuto una mail di conferma in cui la mia password, quella che ho specificato come password di accesso, era in chiaro. Ho imparato che la password non dovrebbe MAI essere in chiaro. Se possono, ciò significa che anche le mie informazioni sensibili sono archiviate in testo semplice.

Ho contattato il loro supporto e sostengono che stanno utilizzando il metodo di crittografia SHA-256 per le password. È sicuro? È ancora possibile inviare una password in testo semplice anche dopo la crittografia?

    
posta Gulbanan 06.02.2016 - 21:47
fonte

2 risposte

2

Per prima cosa, se sei preoccupato, contatta la tua banca e richiedi un nuovo numero di carta, proprio ora. Quindi cambia ogni password che usi uguale o simile a ciò che hai inviato, su ogni sito ovunque. Quindi termina il tuo account con loro.

In secondo luogo, la famiglia SHA è un insieme di algoritmi hash.

In terzo luogo, mentono, per omissione se non altro. Se veramente hanno usato una qualsiasi forma di SHA-256 sulla tua password, allora non possono inviarti l'email (probabilmente non crittografata)

  • A meno che non abbiano gestito personalmente un cracker offline, E la tua password era P @ $$ w0rd, Jennifer2007, 12345 o qualcosa di simile. Senza una password debole, SHA-256 impiegherà un po '.

In quarto luogo, a meno che non stiano utilizzando PBKDF2-HMAC-SHA-256 con un numero elevato di iterazioni (cioè rallentano gli attaccanti offline), allora ANCORA stanno facendo male se usano SHA-256.

In quinto luogo, o stanno memorizzando le password in testo normale, o stanno davvero utilizzando la crittografia (anziché l'hashing), che è Ciò che ha messo in difficoltà Adobe nel 2013 , ed è sbagliato.

Hai ragione, NON DEVE essere in grado di recuperare la tua password in chiaro dal loro archivio.

Inoltre, non dovrebbero inviarlo via email potenzialmente non sicura anche se lo stanno memorizzando. Doppia stupidità per la perdita!

    
risposta data 06.02.2016 - 22:51
fonte
2

Giusto per chiarire, SHA256 è un hash unidirezionale, non una crittografia. Una volta eseguito l'hash, non può essere ripristinato.

Hai ragione a temere che una password che hai creato (non generata automaticamente dal sito) ti sia stata inviata via email. Detto questo, non sono d'accordo con la tua affermazione:

"If they can, that means that my sensitive information are stored in plain text too."

Solo perché fanno una cosa sbagliata, non significa che stanno facendo anche le cose sbagliate. Allo stesso modo, solo perché un altro sito memorizza correttamente le password, non significa che non stiano commettendo altri errori. In altre parole, non puoi mai fidarti veramente di qualsiasi sito se non sai esattamente come funziona dietro le quinte.

In realtà l'unica cosa che sai per certo, è che ti stanno inviando via email la password che hai creato quando ti sei registrato. Questa è una cattiva pratica, ma non significa necessariamente niente di più. È possibile che invii l'e-mail nel momento in cui ti registri, poi esegui l'hashing della tua password con SHA256 come rivendicano, e magari usi i metodi appropriati di archiviazione anche per le informazioni di pagamento (o non memorizzi affatto le informazioni di pagamento sui loro server). / p>

La prima cosa che raccomando sarebbe cambiare la password su quel sito. È possibile che l'email che hai ricevuto contenente la tua password si verifichi solo al momento della registrazione. Potrebbero non inviarti un'e-mail ogni volta che cambi la tua password, e in caso contrario, e se ritieni che siano sinceri che stiano tagliando la tua password, allora probabilmente starai bene da allora.

Come ulteriore precauzione, se la password che hai utilizzato inizialmente è utilizzata anche dagli account che hai su altri siti web, ti consiglio di cambiarli. (Questo è il motivo per cui è buona norma usare una password diversa su ogni sito che usi.)

Modifica: come nota a margine, ti consiglierei di contattare il sito e far loro sapere che sei preoccupato per loro mandandoti un'email con la password che hai inserito. Forse anche collegarli direttamente a questa domanda come un buon riferimento. Speriamo che tu possa convincerli a cambiare il loro processo.

    
risposta data 07.02.2016 - 03:43
fonte

Leggi altre domande sui tag