2009-03-31 7 views
9

Al registrarse en un sitio el otro día, uno de sus requisitos de contraseña era que no podía contener ningún carácter especial, como '"=:; <> ()Cómo saber si un sitio almacena contraseñas en texto sin formato

Mientras que esto por sí solo no indica que no picadillo sus contraseñas, que es un fuerte indicador? Si es ordenado la contraseña, estos caracteres especiales se traducirán en otra cosa, y cualquier harmful SQL se convertirán en caracteres aleatorios. En virtud del hecho de que no permiten esos caracteres, ¿significa que la contraseña se ingresará en la base de datos sin ser procesada?

También me registré en otro sitio que parecía tener mucha seguridad y tenía buenas críticas de los clientes. Sin embargo, una vez que completé el registro y recibí su correo electrónico de bienvenida, incluía mi contraseña en texto plano, lo cual fue una sorpresa desagradable.

Nadie anuncia su poca seguridad, pero ¿cuáles son algunas señales de advertencia de que su contraseña no puede ser encriptada? Por lo general, no se sabe qué tan pobre es la seguridad de un sitio hasta que se produce un robo de datos masivos o robos, y la persona promedio del sitio no puede saber qué está pasando con sus datos.

Alguien debe crear un sitio donde pueda resaltar sitios con poca seguridad para alejar a los clientes o avergonzar a los sitios para que cambien sus políticas. Entiendo que debe confiar en los sitios de terceros, pero, ¿cuáles son algunas de las advertencias que deberían alejarlo de un sitio?

+0

Esto parece Wiki-ish ... o al menos NPR para mí. – Cerebrus

+0

No relacionado con la programación, IMHO –

+0

Aquí hay una lista continua de delincuentes http://plaintextoffenders.com/ –

Respuesta

4

Dos cosas vienen a la mente.

R: El hecho de que haya recibido un correo electrónico con una contraseña de texto sin formato no significa que esté almacenado en texto sin formato. Encriptamos y enviamos correos electrónicos en texto plano, es una mala práctica, pero un paso adelante del texto simple.

B: Use un administrador de contraseñas si le preocupa este tipo de cosas. No puede controlar las malas prácticas de contraseñas de otras personas, lo que puede controlar son sus buenas prácticas y el daño causado si una de sus contraseñas se ve comprometida.

Yo uso KeePass mismo. Tiene un generador de contraseñas que puede modificar las reglas para que pueda tener contraseñas super oscuras (como: YhdyLa1PJSftp7) específicas para los criterios del sitio.

+1

¡Hackerthief! ¿Cómo supusiste que mi contraseña era YhdyLa1PJSftp7? –

+0

1337 skillz por supuesto! –

+0

Gracias por el enlace a KeePass ... ¡Realmente necesitaba un buen Password Mgr! :-) – Cerebrus

9

Por lo general, solo se enterará cuando reciba un correo electrónico de confirmación de cuenta o cuando pregunte "envíe una nueva contraseña" y obtendrá el original en texto sin formato en lugar de uno al azar o restablecimiento de contraseña.

No creo que ninguna regla estúpida sobre lo que puede y no puede ser una contraseña sea un buen indicador. Su mejor opción es usar contraseñas sólidas y únicas para todo.

1

Desafortunadamente, en general, no hay forma de saber con certeza si un sitio almacena su contraseña sin hit.

Si bien esto por sí solo no indica que no hash sus contraseñas, ¿es un indicador fuerte? Si la contraseña es hash, estos caracteres especiales se traducirán a otra cosa, y cualquier SQL dañino se convertirá en caracteres aleatorios. En virtud del hecho de que no permiten esos caracteres, ¿significa que la contraseña se ingresará en la base de datos sin ser hash?

No, no significa necesariamente que. p -> q (es decir, permitir caracteres especiales -> contraseña codificada (a menos que su seguridad sea ridículamente mala)) no permite concluir ~ p -> ~ q (es decir,no permitiendo caracteres especiales -> contraseña no hash). En otras palabras, es posible que no permitan esos caracteres, pero que aún utilicen la contraseña.

También me registré en otro sitio que parecía tener mucha seguridad y tenía buenas críticas de los clientes. Sin embargo, una vez que completé el registro y recibí su correo electrónico de bienvenida, incluía mi contraseña en texto plano, lo cual fue una sorpresa desagradable.

Es posible que generaran el correo electrónico mientras la contraseña estaba en la memoria, pero solo almacenaba un hash. Si bien enviar por correo electrónico una contraseña de texto sin formato no es, como dices, una buena práctica de seguridad.

2

El peor signo es si PUEDEN enviarle su contraseña por correo electrónico en texto sin formato.

No hay garantía de que lo estén almacenando en texto plano, pero si el cifrado que están usando es reversible, la mayoría de los desarrolladores del sitio sabrán cómo se cifra/descifra la contraseña y probablemente puedan leerla.

+0

El correo podría haber sido enviado mientras la contraseña aún no estaba encriptada. – Martin

+0

Buen punto. No había considerado el cifrado previo. Estaba pensando más en "Olvidé mi contraseña, por favor envíela a mi dirección de correo electrónico". – Andy

1

Si recibe un correo electrónico informándole que se están cambiando a un nuevo sistema con un límite de contraseña más corto que el sistema actual y que truncarán automáticamente la contraseña, es obvio que están almacenando contraseñas .

Me pasó con una cuenta bancaria en línea recientemente. Pensarías que ellos sabrían mejor.

Por cierto, eso no indica que estén almacenados en texto plano. Es posible que hayan sido encriptados. Pero, desde un punto de vista de seguridad, eso no es mejor que almacenarlos en texto plano. Las contraseñas reales nunca se deben almacenar en ningún formulario.

1

En virtud del hecho de que no permiten esos caracteres, ¿significa que la contraseña se colocará en la base de datos sin ser hash?

No. Es generalmente una mala señal si se anulado algunos caracteres (e increíblemente irritante si usted tiene un sistema para el maquillaje de las contraseñas con puntuacion en), pero no es una señal de alerta en sí mismo. En ocasiones, hay otros motivos técnicos para rechazar algunos caracteres (*), y muy a menudo estúpidos motivos de política de gestión para no hacerlo.

(*: en particular, la autenticación básica HTTP no puede incluir de forma fiable a: carácter en un nombre de usuario, o cualquier carácter no ASCII en el nombre de usuario o contraseña ''.)

Sin embargo, una vez que completé registro y recibí su correo electrónico de bienvenida, incluía mi contraseña en texto plano, que fue una sorpresa desagradable.

Sí. No es bueno, pero de nuevo no necesariamente significa que están almacenando como texto plano; podrían estar enviando el correo y luego hash después de eso.

(Probablemente no, aunque eh!)

¿cuáles son algunas señales de advertencia de que su contraseña no puede ser encriptados?

Si existe una función de 'recuperación de contraseña' que le puede enviar la contraseña después del registro.

alguien debe crear un sitio donde se puede destacar los sitios con poca seguridad para dirigir a los clientes de distancia

Eso estaría bien, pero después de que alguien estaría constantemente acosado por las empresas técnicamente ni idea, pero con litigios feliz . Y cuando la mayoría de los sitios comerciales aún son vulnerables a los ataques simples XSS o XSRF, la lista de "sitios con poca seguridad" sería mucho más larga que "sitios con buena seguridad".

Cuestiones relacionadas