web-dev-qa-db-ja.com

プレーンテキストのパスワードを返すウェブサイト

最近、ウェブサイトにログインしました。 [プロファイルの更新]ページをクリックすると、すべてのユーザーフィールドのテキストボックスのリストが表示されます。名前、メール、電話番号など.

パスワードと確認パスワード(これらの値を更新する場合)のボックスもありますが、このページに移動すると、これらのボックスには既に値が入力されているので、プレースホルダーを配置するのはなぜですか?

Inspect要素に入ると、実際にはパスワードの値があり、次のように大文字に変換されます。

<input type="password" name="txtPassword2" size="45" value="MYPASSAPPEARSHERE">

ログイン時に、パスワードやユーザー名の大文字と小文字は区別されないことに最近気付きました。すべて大文字にすることも、すべて小文字にすることも、両方を組み合わせて入力することもできます。パスワードはそのまま使用できます。

これはセキュリティホールであり、パスワードをプレーンテキストとして保存していることを示していますか?

これは( プレーンテキストのパスワードを保存するWebサイトについては何をするか )の複製ではありません[示すサイトがプレーンテキストのパスワードを保存しているかどうかを確認するためにここで尋ねますそれについて何をすべきかというよりはむしろ。


会社からの返答:力を尽くした後、会社はパスワードがプレーンテキストで保存されていることを認めた。

63
stzvggmd

明らかに、彼らがあなたのパスワードを表示できる場合、彼らは何とかしてあなたのパスワードを保存しています。ログイン時にクライアント側でパスワードをキャッシュする可能性がありますが(セッション管理などの正当化できない理由により)、パスワードデータベースがクリアテキストである可能性が高くなります。いずれにせよ、それは保存され、保存されるべきではありません。

そして、パスワードでupper()関数を実行しているようです。これにより、エントロピーを追加する可能性のある潜在的な文字セットから26文字が消去されます。

これは、20年前から存在していなかった、非常に貧弱なセキュリティです。

117
schroeder

プレーンテキストのパスワードは、セキュリティ上の大きな問題です。

  1. まず、彼らはそれを知っているべきではありません。パスワードはハッシュ化してソルトを付けて保存する必要があります。それをしない人は誰でも[編集者による検閲]です。
  2. 第二に、厳密に必要でないときにパスワードをネットワーク経由で送信することは、2番目の大きなセキュリティミスです。
  3. 第三に、この時点でそれをウェブページに含めると、けがをするだけで侮辱を加えます。

彼らが事件を捨てることはそれと比較して無害です。これは実際には、セキュリティと使いやすさの間の妥当なトレードオフになる可能性があるものです。また、大文字と小文字をサポートしていない古いバックエンドシステムを使用している可能性もあります。メインフレームでそれを見てきました。パスワードは大文字と小文字が区別されないことをどこかに書く必要がありますが、正直なところ、最初の3回のストライキと比較すると、これはほとんど言及する価値がありません。

13
Tom

正直に言うとわからないです。

それらはcouldパスワードをプレーンテキストで保存し、それらはcould暗号化して保存します。どちらもかなり悲惨です。彼らはcouldログインしたときにセッション(つまりサーバー側)にそれを保存します。彼らはcouldをcookie(つまりクライアント側)に保存し、ユーザープロファイルを示すスクリプトにフォームに挿入しても、これはやはり悪いことです。

それが何であれ、正当な理由や正気な理由はなく、実際にはanyなぜパスワードが必要なのかwantが必要であると想像できる理由-不必要にそして絶対に必要以上に長い。または、なぜneedの形式にする必要がありますか。

安全なものであれ安全でないものであれ、秘密にされているものを長く保管しておけば、「何か」が発生して秘密がもう秘密ではなくなる可能性が高くなります。

ですから、それが何であれ、それは一般的には良いパターンではありません。それが本当にどれほど深刻であるかはわかりません。

パスワードを大文字にする場合も同様です。私たちは知りませんwhat彼らはそこでやっています。それらはmightすべてのパスワードをすべて大文字と見なします。これはブルートフォース攻撃を約2倍有効にするため、非常に悪いことになります。プレーンテキストのパスワードを保存する可能性を考慮しても、それは少し無視できます。オンラインのブルートフォース攻撃は起こりにくく、簡単に阻止されます。オフラインの攻撃も、パスワードがplaintext ...であればその時点で誰が気にしますか。

彼らはmightそのフォームでは単に大文字なので、「超スマート」なJavaScriptスニペットは、パスワードを変更するときに「似すぎている」と伝えます。わかりません。しかし、再び、それが何であれ、それは良くありません。

6
Damon