我剛剛在hosting24.com上按了'忘記密碼',只有以明文形式將我的密碼通過電子郵件發送給我(見下圖)。我接觸他們的技術支持,以質疑這個,他們都告訴我:可以篡改密碼?
我們正在利用我們的網站上鹽加密,密碼不存儲 純文本格式。請讓我們知道您是否對 數據的安全性有任何疑慮。
我理解它的方式是,一旦密碼被「醃」,它就不能被逆轉回純文本。我也非常擔心,考慮到他們的合作伙伴公司000webhosting是massive hacking incident recently的受害者,這暴露了他們的安全性不足。
謝謝。
編輯:
幾個加熱的郵件,我終於得到這個響應後:
我們的密碼進行加密,在 數據庫安全的加密方法。雖然我們確實有一個解密方法(即用於防止欺詐的 ),但所有這些都將改變,因爲我們正在對 進行重新設計並更新代碼以遵守新時代 標準。我們很抱歉讓你失望。
如有任何其他問題,請與我們聯繫。節日快樂!
'新時代'。驚人。
編輯:
我把網站此鏈接證明這一點,所以我期望從他們的技術支持下來票的負載。
鹽漬散列密碼不是直接可逆的 - 這就是散列點。然而,人們總是可以嘗試通過暴力來恢復它們,嘗試所有可能的/可能的密碼來查看散列是否匹配。
這樣做的代價有多大取決於所使用的散列強度,但是您永遠不會構建以這種方式存儲和解密密碼的系統。如果他們說他們只存儲鹽漬的散列,並且仍然能夠向您發送您最初設置的密碼,他們顯然是在撒謊。
他們不提,雖然散列:
我們正在利用我們的網站上鹽加密,密碼不存儲在純文本。
「鹽加密」不是問題,但我們儘可能在這裏儘可能地慷慨。
這可能意味着他們使用可逆加密和一些隨機元素(變量IV,或加密消息中的額外數據),這將確保兩個密碼不會匹配加密版本(即與散列操作中的'salt')。
也可以想象,爲什麼他們需要可逆密碼,例如他們需要使用密碼來認證另一個單獨的系統,可能有一些合理的原因。可以使用可逆密碼構建合理的系統,但與Good Old Bcrypt相比,管理這種方式需要更多的努力(例如,應用程序服務器上的密鑰;管理該密鑰的廣泛內部策略; HSM;以及防水代碼審覈) 。
假設我們接受這是他們所做的並且他們已經實施了它(這非常可疑 - 很有可能他們已經獲得了明文密碼或被黑了並且易受攻擊的AES)。即使如此,他們已經通過將郵件中的反向密碼發送給,通過未加密的公共SMTP基礎結構發送。
有些事情可以減輕郵件通道的不可靠性,例如發送一次性使用的令牌或需要設置新密碼的臨時密碼。但是,發送現有密碼永遠不會有充分的理由,該密碼將繼續在目標站點上運行,並可能用於保護其他服務。用戶設置密碼應該從不觸摸SMTP。
不,他們不能沒有天文計算能力。我敢打賭他們有第二個明文密碼數據庫的大筆資金。
這個答案說:找到另一個提供線索的提供商,不存儲明文密碼,他們提供的唯一選擇是重置您的密碼,以便您可以選擇一個新的密碼。 –
雖然這個答案在你回答時確實表面上與問題相符,但它與目前所處的問題不符。該公司承認使用可逆加密,而不是醃製哈希。 – Tritium21
我擔心安全專家是否會在我身邊使用術語「鹽加密」...... –
***他們對你說謊***我覺得最好假定每個網站/服務/等等。是不安全的,並使用不同的隨機密碼,由密碼管理工具管理。 – David
@David謝謝。我已經進入並刪除了我的所有個人信息,並要求我的帳戶被關閉並刪除 - 這是值得的。 – mylogon