Comment Netflix connaît mon mot de passe?

8

Chaque fois que je vais sur la page principale de Netflix dans Firefox, je suis automatiquement connecté.

Cependant, lorsque j'ouvre la liste des mots de passe enregistrés de Firefox, je remarque que Netflix ne fait pas partie des sites où Firefox conserve les mots de passe pour ( Options -> Security -> Saved Passwords)

Comment Netflix connaît-il le mot de passe si Firefox ne le stocke pas et où est-il stocké?

firefox passwords netflix Raven Dreamer
la source
21
Je ne vois pas quelle partie de ce scénario vous fait penser qu'ils connaissent votre mot de passe. Fondamentalement, tout ce que vous avez dit est "Je viens de recevoir un Chromecast". et "Firefox n'a pas enregistré mon mot de passe Netflix." Qu'est-ce qui vous fait croire que Netflix a votre mot de passe? J'imagine que ce malentendu est né d'autre chose que ce que vous avez énuméré dans votre question actuelle. Peut-être pourriez-vous modifier pour expliquer ce qu'est ce "quelque chose"?
Ajedi32
1
@ Ajedi32 Honnêtement, je viens d'avoir un raté mental et j'ai supposé que parce que je suis connecté chaque fois que j'ouvre Netflix, c'était Firefox qui faisait la connexion. J'ai complètement oublié que les cookies étaient une chose.
Raven Dreamer
4
Donc, en fait, le Chromecast est complètement hors de propos.
David Z
@DavidZ Sauf si quelqu'un avait des informations sur la façon de l'utiliser via Firefox ... oui.
Raven Dreamer
@RavenDreamer Ce serait une question différente; si hors de propos malgré tout.
OJFord

Réponses:

31

Pour répondre à votre première question, Netflix ne connaît pas votre mot de passe .

Ce que Netflix et tous les autres sites Web compétents font, c'est hacher votre mot de passe en utilisant un schéma de hachage à sens unique ( MD5 , SHA-1 , SHA-2 , etc.).

Cela crée essentiellement une empreinte hexadécimale unique de longueur fixe qui identifie la chaîne de texte qui est votre mot de passe. Par exemple, voici à quoi ressemble mon mot de passe sécurisé après avoir été haché à l'aide de MD5:

Hachage MD5

Ils stockent ce hachage dans leur base de données interne et chaque fois que vous vous connectez à Netflix, le mot de passe que vous fournissez pendant le processus de connexion est haché à nouveau en utilisant le même schéma et est comparé à la copie du mot de passe haché stocké dans leur base de données.

S'ils correspondent, ils savent que vous avez entré le bon mot de passe et que vous avez accès. S'ils ne le font pas, vous n'êtes pas authentifié. C'est pourquoi lorsque vous cliquez sur une variante du lien Mot de passe oublié , ils ne vous envoient pas votre ancien mot de passe mais vous demandent plutôt d'en choisir un nouveau. C'est parce qu'ils ne savent pas non plus quel est votre mot de passe.

Alors, comment êtes-vous connecté si Firefox n'a pas enregistré le mot de passe pour Netflix?

La réponse à cela est les cookies de session . Lorsque vous vous êtes connecté à Netflix (il y a peut-être un certain temps), vous avez peut-être choisi de vous souvenir de votre session.
souviens-toi de moi?

Si vous l'avez fait, Firefox stocke une petite quantité d'informations sur votre ordinateur qui vous identifie de manière unique lorsque vous visitez Netflix. Ces «cookies», comme on les appelle, persistent généralement pendant une courte période jusqu'à ce que la session soit active, puis expirent. Certains peuvent cependant durer des semaines ou plus. Supprimez ce cookie et Netflix ne se souviendra pas de vous.

Cookies Netflix

Concernant votre deuxième question, si Firefox ne «se souvient» pas du mot de passe, il n'est stocké nulle part. Ce qui est stocké, c'est le cookie. Firefox les stocke dans son dossier Profils dans le fichier cookies.sqlitequi est un fichier de base de données SQLite .

Enfin, si vous avez choisi de vous connecter via votre compte Facebook, vous n'avez pas besoin d'un mot de passe et Firefox n'en stockera donc pas.

connectez-vous en utilisant Facebook

Cependant, un cookie serait toujours créé pour identifier votre session.

Vinayak
la source
23
MD5 est unidirectionnel car c'est une fonction de hachage. Dire que ce n'est pas le cas impliquerait que vous puissiez en quelque sorte obtenir les données d'origine à partir d'un hachage MD5 via un processus cryptographique. Tu ne peux pas. Les outils que vous mentionnez ne peuvent "inverser" le hachage que parce qu'ils ont investi une puissance informatique importante pour forcer toutes sortes de combinaisons de mots de passe pour arriver à la chaîne de mot de passe d'origine. Cela ne signifie pas que le MD5 est réversible. Le hachage est différent du cryptage où vous pouvez décrypter les données si vous avez la clé. De plus, avec le hachage, quelle que soit la durée de l'entrée, la sortie est toujours de longueur fixe.
Vinayak
16
@Derek 朕 會 功夫 MD5 est cryptographiquement "cassé", mais il s'agit de collisions , pas de pré-images (qui comptent pour les mots de passe). MD5 est également mauvais pour les mots de passe, mais c'est parce qu'il est rapide , vous pouvez donc forcer de nombreux mots de passe en force en peu de temps (et c'est la même chose pour les fonctions de hachage plus avancées comme SHA-2 et SHA -3). Voir crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann
9
Je dois voter pour l'exemple MD5, quelle que soit la qualité de la réponse. Ce n'est tout simplement pas quelque chose que vous voulez lire en 2014 (bientôt 2015). Ce n'était jamais une bonne idée d'utiliser du MD5 brut (même avec du sel) pour stocker les mots de passe, et la plupart des gens l'ont réalisé au cours des 10 dernières années. -1
Thomas
8
@Thomas Je suis désolé que vous ressentiez cela, mais ma réponse n'a jamais été censée être un guide pour choisir le meilleur schéma de hachage. SuperUser n'est pas StackOverflow et que cela vous plaise ou non, MD5 est toujours une fonction de hachage cryptographique, donc je ne vois pas ce qui ne va pas avec ce qu'est un hachage avec l'exemple de MD5.
Vinayak
7
@kasperd "Et en fait, à ce jour, l'utilisation d'une seule invocation de MD5 avec un sel est toujours sécurisée pour les utilisateurs qui utilisent de bons mots de passe." Non. Ne diffusez pas de fausses informations. Une seule invocation de MD5 est totalement inadéquate.
Ayrx
10

Netflix - comme la plupart des autres sites Web - ne se soucie pas de votre mot de passe lors de la navigation normale. Au lieu de cela, lorsque vous vous connectez, Netflix demande au navigateur de stocker un «cookie» avec l'ID de session de connexion. Le navigateur le renvoie à chaque fois qu'il demande une nouvelle page. (De même, le stockage de mot de passe dans Firefox n'est pas utilisé pendant la navigation normale, mais uniquement pour remplir automatiquement le champ de mot de passe dans les pages de connexion.)

Les cookies de session sont généralement générés de manière aléatoire et n'ont aucun lien avec votre identifiant ou votre mot de passe - seul Netflix lui-même peut le lier à votre compte.

Pour les voir, faites un clic droit sur la page, sélectionnez "Afficher les informations sur la page", et sous "Sécurité", cliquez sur "Afficher les cookies".

user1686
la source
5

Il n'y a rien de mal avec Netflix. Comme presque tous les sites Web auxquels vous pouvez vous connecter, il stocke un cookie sur votre PC qui, entre autres, stocke des données cryptées représentant votre mot de passe.

N'avez-vous pas vu le même comportement sur Google, Facebook, Yahoo, Windows Live et quel que soit le compte auquel vous pensez?

Certains services Web peuvent utiliser des cookies qui ne sont valables que pour une courte période de temps ou uniquement dans la session en cours (par exemple Yahoo et Facebook, sauf si vous sélectionnez une option Se souvenir de moi sur cet ordinateur ). Mais apparemment, Netflix utilise des cookies qui sont valides pour une plus longue période de temps, ce qui vous permet de rester connecté, sauf si vous supprimez l'historique de votre navigateur, en particulier les cookies.

Maintenant, vous demandez peut-être à quoi sert le magasin de mots de passe dans le navigateur. C'est très simple. Si vous vous déconnectez de Netflix (ou autre), le cookie est supprimé. Si vous souhaitez vous reconnecter, vous devrez saisir à la fois le nom d'utilisateur et le mot de passe du compte. Si vous avez enregistré votre mot de passe dans le navigateur, il remplira automatiquement ce champ lorsque vous tapez le nom d'utilisateur.

Cornelius
la source
10
Clarification - les cookies ne contiennent aucune donnée représentant des mots de passe. Ils contiennent plutôt des données aléatoires qui identifient une session associée à votre compte. Les sessions sont stockées sur le serveur.
ntoskrnl
0

Avez-vous vérifié vos cookies? Votre mot de passe ou une copie cryptée de votre mot de passe peut être présent.

hymie
la source
5
Ce serait une conception terriblement précaire. La pratique courante consiste à utiliser un cookie de session qui n'est en aucun cas lié au mot de passe.
kasperd
Peu importe exactement ce qu'il y trouve. Il devrait vérifier ses cookies.
hymie