Come faccio a sapere se un sito Web crittografa le password indipendentemente dal protocollo SSL?

0

Gestisco un team di sviluppatori e solo di recente ho scoperto che le password non sono hash a livello di database. Stavamo cercando di ottenere l'approvazione PCI e l'ispettore mi ha informato sul livello di silenzio che CC e password vengono archiviate dagli sviluppatori senza hash.

Questo mi ha preoccupato. In primo luogo, gli utenti presumono automaticamente che SSL significhi che i loro dati siano crittografati. Questo non è vero poiché le informazioni su CC e Password sui nostri database sono archiviate in testo normale (da allora abbiamo rimosso questo e abbiamo installato SALT su tutti i dati)

C'è un modo per me su un sito web per vedere il lato server o scoprire se password e CC sono effettivamente crittografati.

    
posta TheBlackBenzKid 15.11.2016 - 13:16
fonte

2 risposte

4

Un utente finale può solo sperare che la sua password sia sottoposta a hash, fino a quando il sito non viene violato e le password (o, si spera, le versioni salate e con hash) vengono divulgate al pubblico.

Come manager, hai altre opzioni. È possibile chiedere dove sono archiviate le password e verificare che non siano archiviate in testo normale.
Potresti fare un ulteriore passo avanti e renderlo parte di un processo di test automatizzato - creare un nuovo utente, con una password randomizzata. Verificare che la nuova password non compaia nella tabella del database che memorizza i dati di autenticazione dell'utente. Potresti anche andare oltre e testare se la tabella che stai guardando, in realtà è la tabella utilizzata per l'autenticazione dell'utente, ad esempio rimuovendo con forza l'utente a livello di database e cercando di accedere di nuovo.

I sistemi automatici, sfortunatamente, non possono darti una garanzia al 100% che le password non siano memorizzate in testo da qualche parte nel codice.
Anche il processo umano è incline all'errore e trascura le cose. Tuttavia, la combinazione di buoni test automatizzati e un buon processo umano (ad esempio recensioni di codici) dovrebbe darti sufficiente sicurezza che i dati dell'utente siano protetti in modo appropriato. Oppure, se il peggio arriva al peggio, almeno hai fatto uno sforzo serio per proteggere i dati.

Poiché Khajak Vahanyan indica nei commenti, SSL / TLS non ha nulla a che fare con questo. SSL / TLS riguarda il modo in cui i dati vengono trasferiti a nell'applicazione, non in merito a ciò che accade ai dati in seguito.

    
risposta data 15.11.2016 - 14:39
fonte
4

No, non puoi essere sicuro che un sito abbia cancellato correttamente la tua password.

Tuttavia, possono esserci alcuni segnali che non sono stati segnalati, in particolare se inviano via e-mail la password esistente come parte della funzionalità "password dimenticata".

    
risposta data 15.11.2016 - 13:36
fonte

Leggi altre domande sui tag