I was emailed my password, want to confirm this is not secure
我最近忘记了一个网站的密码,并通过他们的支持过程来解决这个问题。他们用明文给我发了我的原始密码。
我给他们发了一封严厉的电子邮件,声明电子邮件不是一个安全的传输协议,并且通过给我发送一个明文版本的密码,他们已经表明他们没有存储我的密码的哈希版本。我接着说,任何有权访问他们的数据库或黑客系统的人都有权访问密码。
这些断言正确吗?
是的,你的断言是正确的。
虽然我们不能确定他们是否以明文格式存储密码,但很明显密码是以无损的形式存储的,并且他们(可能是攻击者)有可能算出明文密码。
在任何情况下,这都是安全性差。
您,即用户,可以采取的一种减轻此类风险的方法是为每个站点分配一个唯一的随机密码。有许多软件工具允许您管理这些密码。
如果它是您的原始密码,那么它可能是不安全的。他们可能正在加密,但不太可能。即使是这样,加密密码也只比用纯文本保存好一点。