web-dev-qa-db-ja.com

Webサイトで他のユーザーがサイトのユーザーパスワードのリストを取得できる場合、パスワードがクリアテキストで保存されている可能性はどのくらいありますか?

一部のマネージャーに、特定の会社のWebサイトを使用して監督する人々のパスワードが与えられたという事件がありました。どうやらそれは、マネージャーがユーザーをチェックインして、彼らがこのサードパーティのWebサイトで指示されていることを実行していることを確認できるように行われました。

パスワードのリストが印刷されてマネージャーに渡されたことがわかったとき、商業用Webサイトのパスワードは安全な方法で保存されていないとすぐに思い、ほぼすべてのパスワードをすぐに変更するようユーザーに警告しました彼らの「使い捨て」アカウントに一致しました。また、一般的な人間であるため、そのサイトで内部パスワードシステムで使用しているのと同じパスワードを使用している人が多数いるため、複数のパスワードを覚えておく必要はありません。また、ユーザーが自分のパスワードが他の人や監督者に配布されることを警告されていなかったことにもショックを受けました。

問題のウェブサイトにアクセスして、プライバシーポリシーのリンクをクリックしました。 404エラーが返されました。

  1. 私は偏執的でしたか?

  2. 管理者が平文のパスワードのリストを取得できる場合、商用Webサイトがパスワードを平文で保存している可能性はどの程度ですか?

passwordswebserverpassword-management
19
Bart Silverstrim

いいえ、あなたは偏執狂ではありません。パスワードがプレーンテキストとしてデータベースに保存される可能性はかなり高いです(これは最も明白な説明です)。 ウェブサイトの30% ユーザーのパスワードをプレーンテキストで保存する(または保存した)と推定されています。たとえば、Reddit.comやRockYou.comなどです。パスワードの保存手順がテストされるのは、通常、深刻な違反が発生した後でのみです。

多くの場合、プレーンテキストでパスワードを保存するサイトでは、パスワードを忘れた場合に古いパスワードを再送信する可能性があります。これは、この安全でない方法をかなり証明しています。

パスワードが暗号化されて保存され、レポート用に解読された可能性がありますが、これはまれな方法です。パスワードが暗号化されている場合でも、アプリケーションはユーザーを認証するために復号化キーにアクセスする必要がある可能性が高いため、常にキーの保存に問題があります。

もちろん、アプリケーションに対して行うべき適切なことは パスワードをソルトおよびハッシュする です。

22
Krzysztof Kotowicz

問題は、パスワードを平文で保存することではなく、パスワードをanyで簡単に復元できる形式で保存することです。明確なパスワードは、その最も簡単な例にすぎません。

マネージャーに送信できるパスワードは、定義により回復可能であり、他の誰があなたのパスワードを送信してくれるのか誰が知っているのですか?

9
Kevin
  1. 番号
  2. 100%

これは、可能な限り最悪のデザインへの逆戻りの1つに思えます。マネージャーには、従業員の作業を表示する権限が必要ですが、サイトには適切な権限モデルをサポートする必要があります。管理者はアクティビティのログを見ることができるはずですが、そのためには、サイトが有用なレベルのログをサポートし、適切なプレゼンテーションインターフェイスを備えている必要があります。これらは作業が必要なため、代わりにパスワードを渡しています。それは本当にブッシュリーグです。

少なくともウェブサイトはある意味で正直です。彼らのプライバシーポリシーは「見つかりません」です。

8
gowenfawr

非対称暗号化を使用してパスワードを格納し、秘密鍵を非常に安全に保ち(マネージャーの金庫のUSBドライブ)、DBに格納する一方向の「ハッシュ」の一部として公開鍵を使用することが可能です。そしてそれを確認する

しかし、実際に誰がそうすることを考えているでしょうか。その場合は、実際のハッシュまたは対称暗号化(プレーンテキストとほぼ同じくらい)を使用する方が簡単です。

3
ratchet freak