Se um "esqueceu sua senha?" A página envia por e-mail sua senha antiga, é a prova definitiva de que eles a armazenaram em texto sem formatação?

8

Quando um site envia por e-mail sua senha antiga, em vez de exigir que você a redefina no site, fico imaginando o que isso implica em suas medidas de segurança.

Isso significa que eles armazenam a senha em texto sem formatação para sua própria conveniência ou ainda podem usar criptografia na senha?

security passwords encryption S. Michaels
fonte
Relacionado a esta pergunta - superuser.com/questions/46810/…
ChrisF
3
A criptografia é um processo bidirecional, no qual você pode descriptografar as informações de acordo com a chave correta. As senhas normalmente devem usar hash, que em teoria é uma codificação unidirecional, na qual a senha resulta em um valor de hash específico - difícil ou impossível de reverter. Quando você faz login, a senha digitada é codificada da mesma maneira e comparada com o valor codificado armazenado e permite que você entre se eles corresponderem. Na prática, às vezes você pode reverter o processo através de vários processos de força bruta como o uso de tabelas do arco-íris ...
Oskar Duveborn
2
Quer tivessem ou não criptografado, eles o enviaram em um email de texto plano! Esse site não é sério ou informado sobre segurança de forma alguma. Espero que você não tenha dado a eles uma senha que você usa em qualquer outro lugar. Direita?
Dano
Abandonei um site porque eles insistiam em me enviar por e-mail meu nome de usuário e senha uma vez por mês, independentemente de eu ter solicitado ou não. Enviei um e-mail para eles várias vezes para dizer que isso não era uma boa prática e desisti.
TRiG

Respostas:

25

Eles podem estar usando criptografia quando a senha é armazenada no banco de dados, mas não devem armazená-la em um formato recuperável, criptografado ou não.

Eles devem usar um hash unidirecional da senha (mais um sal ). Isso significa que eles podem verificar a senha que você digita agora corresponde à que você forneceu antes, mas eles (ou algum cracker com acesso ao banco de dados) não conseguem descobrir o que é. Criptografar a senha significa que um cracker precisaria encontrar o banco de dados e a chave de criptografia, mas como a chave deve estar no servidor que está servindo o site, isso é inconcebível.

Portanto, se eles puderem enviar sua senha, isso significa que não estão seguindo as práticas recomendadas de segurança conhecidas.

Práticas inadequadas como essa são um bom motivo para usar uma senha diferente para cada site em que você se registrar .

Dave Webb
fonte
9
BTW, obrigado por chamá-los de crackers em vez de hackers !
NVRAM
Além disso, os principais bancos consideram que os hashes bidirecionais são seguros o suficiente para armazenar as informações do cartão de crédito.
runako 25/09/09
1
@runako: O que é um hash bidirecional? Uma função de hash geralmente gera um valor de um determinado tamanho, o que significa que o original não pode ser encontrado novamente, a menos que o original não seja maior que o valor de hash.
David Thornley
1
Desculpe, poste errado. Isso deveria ter sido "função de mão dupla".
runako 25/09/09
19

Mesmo se for criptografado e seguro, esse email não é de forma alguma seguro.

Uma coisa que você faz saber, através da utilização de e-mail , sua senha é agora quase
certamente armazenadas em texto simples em muitos outros locais :

  • Em seu servidor de correio
  • No servidor do seu provedor de email
  • Nos diretórios do navegador ou de armazenamento de email do seu computador
  • No disco rígido / registros de qualquer pessoa que possa estar "ouvindo" ao longo do caminho
  • ... e possivelmente em qualquer salto da Internet entre você e esse site.
Robert Cartaino
fonte
1

Como Dave disse, eles poderiam e esperançosamente estão usando criptografia, mas vi sites que armazenam senhas em texto sem formatação. Eles também podem gerar uma nova senha temporária quando você pressiona o botão Esqueci minha senha, que você precisa alterar na primeira vez que fizer login. O ponto principal é que você não sabe como eles armazenam sua senha e, a menos que o site seja hospedado pela mesma empresa da qual você recebe suporte, e eles tenham apenas algumas pessoas, é improvável que você possa perguntar a alguém que saber como é armazenado e, mesmo sabendo que é improvável, diriam a você.

mexicano
fonte
0

A resposta é NÃO - isso não prova nada.

De qualquer forma, você não tem como saber como as senhas são armazenadas internamente. Provavelmente eles estão usando um banco de dados como o mysql, e pode ser que eles não estejam criptografados dentro do banco de dados. No entanto, ainda é possível que eles estejam armazenando conscientemente o banco de dados inteiro em algumas mídias criptografadas, como TrueCrypt . Tudo o que você pode fazer é esperar que eles tenham tomado medidas suficientes para proteger sua privacidade.

harrymc
fonte
6
É uma prova de que eles não são armazenados criptografados com um hash unidirecional e, portanto, a senha de texto sem formatação pode ser recuperada.
NVRAM
1
Recuperado não é o mesmo que texto simples. Recuperado também pode significar descriptografado. Texto sem formatação significa armazenado como texto simples que pode ser exibido sem muito esforço.
harrymc 25/09/09
1
Se puder ser descriptografado, não será seguro. Assuma a caixa de autenticação e você terá as chaves para descriptografar as senhas de todos.
Jeremy L
1
Sim, assuma o controle do servidor do site e você poderá registrar senhas antes mesmo de serem hash unidirecionais. Vamos lá pessoal, você está sendo bobo.
harrymc 26/09/09