È prassi accettabile per la sicurezza mostrare la password in formato testo su un sito Web?

1

Dopo aver completato la procedura di configurazione guidata account per un nuovo servizio di hosting SiteGround, ho ricevuto questa schermata di conferma sul sito Web:

... just log in to your Wordpress control panel with the details below:
Admin URL: XXX
Username: XXX
Password: XXX

Al posto di XXX , c'erano in realtà il mio nome utente e la password in testo semplice.

Questo è stato consegnato in una nuova pagina su HTTPS; l'HTML della pagina contenuta:

<p><span class="bold">Username:</span> XXX</p>
<p><span class="bold">Password:</span> XXX</p>

Da ciò deduco che non utilizzano l'hashing della password sul lato client. Ero sorpreso; Ho pensato che fosse normale prassi industriale per i servizi sensibili. Non è il caso?

A prescindere da quanto sopra, c'è qualche problema di sicurezza con la visualizzazione della password a me in chiaro? (Suppongo che in realtà non lo salvino in un semplice database in un database - sarebbe atroce, presumibilmente, rimane solo in memoria del loro server web, mentre sta preparando la risposta alla mia richiesta POST, spero che sia hash / salato prima di essere salvato in qualsiasi archivio persistente).

Nota: NON includevano la password in testo semplice nella conferma dell'email; solo su una singola pagina web che è disponibile solo subito dopo la mia iscrizione.

    
posta max 26.03.2017 - 00:05
fonte

1 risposta

4

Sì, ci sono sicuramente alcuni problemi:

  • Spalla di navigazione: esiste una ragione per cui i campi della password utilizzano le stelle. È così che le persone che si trovano nelle vicinanze non possono vedere la password. Mostrare la password in chiaro sullo schermo ovviamente lo sconfigge, e questo è in realtà il principale svantaggio di questo approccio.
  • Memorizzazione nella cache: la risposta può essere memorizzata nella cache dal browser. L'impostazione di intestazioni appropriate può attenuarlo.
  • Abbassa la sicurezza percepita del sito, che non è buona. Potrebbe anche avere un effetto psicologico negativo (se il sito non è attento con la password, perché l'utente dovrebbe essere?).

they don't use client-side password hashing. I was surprised; I thought it was normal industry practice for sensitive services. Is it not the case?

No, l'hashing lato client non è standard, principalmente perché non aggiunge molto.

La password dovrebbe già essere protetta nel trasporto via HTTPS (e l'hashing non garantirebbe comunque il trasporto).

Può sembrare che l'hashing sul lato client possa trasformare una password debole in una password complessa (ad esempio password - > 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 ), ma qualsiasi utente malintenzionato dovrebbe solo prendere in considerazione l'hashing del client e associare il client e l'hashing del server durante il cracking della password.

    
risposta data 26.03.2017 - 00:23
fonte

Leggi altre domande sui tag