Crittografia che il fornitore di servizi non può decifrare?

1

Recentemente ho visto il seguente messaggio testualmente su un'applicazione online che uso. Il login è semplicemente una combinazione login / password. Non c'è oauth, nessuna autenticazione a due fattori, ecc ...

Mi sembra una cazzata, ma non sono un esperto di sicurezza ed è per questo che lo sto postando qui. È forse vero? Se è così, come si fa a proteggere il loro sito in questo modo?

To access our secure area, you must enter your Logon ID and Security Code. As a security precaution, we store your Security Code in our database in an encrypted format that even we cannot decode.

    
posta bigtunacan 12.11.2015 - 05:26
fonte

1 risposta

3

Ci sono diversi modi possibili per farlo funzionare, ma la cosa principale su cui si basa è la memorizzazione della password come un hash unidirezionale. Questo impedisce anche a loro di invertire l'hash per ottenere la tua password, e la tua password è la chiave per la decodifica.

Durante l'accesso, la password inserita viene sottoposta a hash utilizzando lo stesso algoritmo e confrontata con l'hash memorizzato, se corrispondono, è necessario aver inserito la password corretta. Pertanto, il server può autenticarti senza dover mai conoscere la tua password effettiva.

Ovviamente il successo pratico di questo dipende dall'algoritmo di hash utilizzato e dalla lunghezza / complessità della tua password.

Supponendo che tu abbia una buona password, e hanno usato un algoritmo di hashing strong, preferibilmente usando più iterazioni e sale (una porzione di dati casuali aggiunta alla password prima dell'hashing per assicurarsi che due persone che usano la stessa password abbiano il stesso hash) quindi nessuno sarebbe in grado di decifrare la tua password, e quindi decifrare i tuoi dati.

    
risposta data 12.11.2015 - 05:31
fonte

Leggi altre domande sui tag