Si un "mot de passe oublié?" page envoie votre ancien mot de passe par e-mail, est-ce la preuve définitive qu'ils l'ont stocké en texte brut?

8

Lorsqu'un site envoie par e-mail votre ancien mot de passe, au lieu de vous obliger à le réinitialiser sur le site, je me demande ce que cela implique au sujet de leurs mesures de sécurité.

Cela signifie-t-il qu'ils stockent le mot de passe en texte brut pour leur propre convenance ou pourraient-ils encore utiliser le cryptage sur le mot de passe?

security passwords encryption S. Michaels
la source
Relatif à cette question - superuser.com/questions/46810/…
ChrisF
3
Le cryptage est un processus bidirectionnel dans lequel vous pouvez d'une manière ou d'une autre décrypter les informations avec la bonne clé. Les mots de passe devraient normalement utiliser à la place du hachage qui, en théorie, est un codage à sens unique où le mot de passe entraîne une valeur de hachage spécifique - qui est difficile ou impossible à inverser. Lorsque vous vous connectez ensuite, votre mot de passe saisi est codé de la même manière et comparé à la valeur codée stockée et vous permet d'entrer s'il correspond. Dans la pratique, vous pouvez parfois inverser le processus par le biais de divers processus de force brute comme l'utilisation de tables arc-en-ciel ...
Oskar Duveborn
2
Qu'ils l'aient ou non l'avaient crypté, ils l'ont envoyé dans un e-mail de texte de plan! Ce site Web n'est en aucune façon sérieux ou informé sur la sécurité. J'espère que vous ne leur avez pas donné de mot de passe que vous utilisez ailleurs. Droite?
DanO
J'ai abandonné un site car ils ont insisté pour m'envoyer par e-mail mon nom d'utilisateur et mon mot de passe une fois par mois, que je le demande ou non. Je leur ai envoyé plusieurs courriels pour leur dire que ce n'était pas une bonne pratique, puis j'ai abandonné.
TRiG

Réponses:

25

Ils peuvent utiliser le cryptage lorsque le mot de passe est stocké dans la base de données, mais ils ne devraient pas du tout le stocker dans un format récupérable, crypté ou autre.

Ils devraient prendre un hachage unidirectionnel du mot de passe (plus un sel ). Cela signifie qu'ils peuvent vérifier que le mot de passe que vous entrez correspond maintenant à celui que vous avez donné auparavant, mais qu'ils (ou un pirate ayant accès à leur base de données) ne peuvent pas savoir de quoi il s'agit. Le cryptage du mot de passe signifie qu'un pirate devrait trouver la base de données et la clé de cryptage, mais comme la clé doit être sur le serveur desservant le site Web, cela n'est guère inconcevable.

Donc, s'ils peuvent vous envoyer votre mot de passe, cela signifie qu'ils ne suivent pas les meilleures pratiques de sécurité bien connues.

Une mauvaise pratique comme celle-ci est une bonne raison d' utiliser un mot de passe différent pour chaque site Web sur lequel vous vous inscrivez .

Dave Webb
la source
9
BTW, merci de les appeler des crackers au lieu de hackers !
NVRAM
Soit dit en passant, les hachages bidirectionnels sont considérés par les grandes banques comme suffisamment sûrs pour stocker les informations de carte de crédit.
runako
1
@runako: Qu'est-ce qu'un hachage bidirectionnel? Une fonction de hachage donne généralement une valeur d'une certaine taille, ce qui signifie que l'original ne peut pas être retrouvé à moins que l'original ne soit pas plus grand que la valeur de hachage.
David Thornley
1
Désolé, erreur de publication. Cela aurait dû être une "fonction bidirectionnelle".
runako
19

Même s'il est crypté et sécurisé, cet e-mail n'était en aucun cas sécurisé.

Une chose que vous faites savoir, en utilisant e-mail , votre mot de passe est presque
certainement stocké dans le texte brut à de nombreux autres endroits :

  • Sur leur serveur de messagerie
  • Sur le serveur de votre fournisseur de messagerie
  • Dans le navigateur de votre ordinateur ou les répertoires de stockage des e-mails
  • Sur le disque dur / les journaux de toute personne qui aurait pu "écouter" en cours de route
  • ... et très probablement à n'importe quel saut Internet entre vous et ce site.
Robert Cartaino
la source
1

Comme l'a dit Dave, ils pourraient et j'espère utiliser le cryptage, mais j'ai vu des sites qui stockent des mots de passe en texte brut. Ils peuvent également générer un nouveau mot de passe temporaire lorsque vous appuyez sur le bouton J'ai oublié mon mot de passe, que vous devez modifier la première fois que vous vous connectez avec. En fin de compte, vous ne savez pas comment ils stockent votre mot de passe et à moins que le site ne soit hébergé par la même entreprise que celle dont vous bénéficiez, et qu'ils ne disposent que de quelques personnes, il est peu probable que vous puissiez demander à quelqu'un qui le ferait. savoir comment il est conservé, et même s’ils le savaient, il est peu probable qu’ils vous le disent.

Beaner
la source
0

La réponse est NON - ce n'est une preuve de rien.

Dans tous les cas, vous n'avez aucun moyen de savoir comment les mots de passe sont stockés en interne. Très probablement, ils utilisent une base de données comme mysql, et il se peut qu'ils ne soient pas chiffrés à l'intérieur de la base de données. Cependant, il est toujours possible qu'ils stockent consciemment la base de données entière dans certains médias cryptés tels que TrueCrypt . Tout ce que vous pouvez faire, c'est espérer qu'ils ont pris suffisamment de mesures pour protéger votre vie privée.

harrymc
la source
6
C'est la preuve qu'ils ne sont pas stockés cryptés avec un hachage unidirectionnel , et donc le mot de passe en texte brut peut être récupéré.
NVRAM
1
La récupération n'est pas la même chose que le texte brut. Récupéré peut également signifier déchiffré. Le texte brut signifie stocké sous forme de texte simple que l'on peut afficher sans trop d'effort.
harrymc
1
S'il peut être décrypté, il n'est pas sécurisé. Reprenez la boîte d'authentification et vous avez les clés pour déchiffrer les mots de passe de tout le monde.
Jeremy L
1
Yah, reprenez le serveur du site et vous pouvez enregistrer les mots de passe avant même qu'ils ne soient hachés à sens unique. Allez les gars, vous êtes stupide.
harrymc