Come posso sapere se un modulo di registrazione Web in realtà crittografa la mia password?

2

Recentemente mi sono registrato per un nuovo account per il sito web di un fornitore di servizi.

Ho inserito il solito nome, email, password (strong), ripeti password e mi sono registrato. Ottimo tutto funziona bene.

Alcuni giorni dopo ho avuto qualche problema ad accedere, ho fatto il processo di 'password dimenticata' e ancora la mia nuova password (strong) non ha funzionato.

Ho contattato l'amministratore del sistema e durante la conversazione, mi ha detto qual è la mia password corrente. : o

Sono rimasto scioccato perché sa qual è la mia password. Non è meglio usare le password hash?

E se io sono qualcuno che usa la stessa password per tutti i miei account? Ora questi account sono compromessi

Mi chiedo se ci sia un modo per sapere quando si inseriscono le password in un modulo di registrazione, l'amministratore del database utilizza una qualche forma di hashing per qualsiasi sito Web e quindi non può vedere la password "effettiva"?

Conoscendo questo, posso rifiutarmi di iscriverti (possibile sito di phishing per target amateur) e / o utilizzare una password diversa.

Saluti

    
posta chineerat 15.06.2016 - 13:18
fonte

2 risposte

3

Is it not best practice to hash passwords?

Assolutamente sì.

Non significa che succede sempre, però.

What if I am someone who uses the same password for all of my accounts? Now those accounts are compromised

Sì, lo sono ed è per questo che non dovresti usare la stessa password per tutto .

Ci dispiace, ma non farlo è anche Best Practice.

I am wondering if there is a way to know ... uses some form of hashing for any website and therefore cannot see the 'actual' password?

Impossibile.
Nessuno ti dirà che mantengono la tua password in testo semplice (o qualche altra forma recuperabile) proprio per la ragione che tu dici. Li perderebbe affari.

Ricorda che c'è una [piccola] possibilità che faccia cripta la tua password, solo in una forma recuperabile, per casi come questo o, forse, per "nutrire" con altri, sistema esterno che non si integrerà con il loro. Di nuovo, non è esattamente la migliore pratica, ma succede.

    
risposta data 15.06.2016 - 14:14
fonte
1

Francamente, non importa e non dovresti preoccuparti. La semplice ragione è che anche le password crittografate possono essere decifrate nel tempo, quindi la preoccupazione dovrebbe essere se il database utente contenente le password possa essere ottenuto da un hacker, con qualunque mezzo.

Siccome dubito che qualcuno possa dire se un sito casuale è sicuro, la miglior pratica che puoi fare è semplicemente supporre che la tua password sia salvata in formato testo e che sarà ottenuta da un hacker. Con questo in mente, pensa a quali cambiamenti avresti dovuto fare riguardo alle tue password e ai tuoi accessi.

Personalmente, assicurerei di utilizzare email diverse (ad es. alias che inviano a un account comune), nomi utente diversi e una nuova e lunga password gobbledigook per ogni sito che registro.

Se ritieni che la tua password sia sicura, puoi prendere scorciatoie per comodità (come il riutilizzo di una password) e quando un sito viene violato (indicando un esempio ma ce ne sono così tanti che potresti quasi scegliere un sito a caso e ottieni un successo) diventi vulnerabile. Sareste sorpresi di quanto rapidamente gli hacker possano decifrare le password. Quindi supponi il peggio fin dall'inizio.

    
risposta data 15.06.2016 - 14:33
fonte

Leggi altre domande sui tag