यदि "अपना पासवर्ड भूल गए?" पृष्ठ आपके पुराने पासवर्ड को ईमेल करता है, क्या यह निश्चित प्रमाण है कि उन्होंने इसे सादे पाठ में संग्रहीत किया है?

8

जब कोई साइट आपके पुराने पासवर्ड को ईमेल करती है, तो आपको साइट पर इसे रीसेट करने की आवश्यकता के विपरीत, मैं सोच रहा हूं कि उनके सुरक्षा उपायों के बारे में क्या है।

क्या इसका मतलब यह है कि वे अपनी सुविधा के लिए पासवर्ड को सादे पाठ में संग्रहीत करते हैं या वे अभी भी पासवर्ड पर एन्क्रिप्शन का उपयोग कर सकते हैं?

security  passwords  encryption 
एस माइकल्स
स्रोत
इस प्रश्न से संबंधित - superuser.com/questions/46810/…
क्रिस
3
एन्क्रिप्शन एक दो-तरफ़ा प्रक्रिया है जहाँ आप किसी तरह सही कुंजी दी गई जानकारी को डिक्रिप्ट कर सकते हैं। पासवर्ड को आम तौर पर हैशिंग का उपयोग करना चाहिए जिसके बजाय सिद्धांत में एक तरफ़ा कोडिंग है जहां पासवर्ड एक विशिष्ट हैश मूल्य में परिणाम देता है - जो रिवर्स करना मुश्किल या असंभव है। जब आप लॉगिन करते हैं, तो आपका दर्ज पासवर्ड उसी तरह कोडित होता है और संग्रहीत कोडित मूल्य की तुलना में होता है और यदि वे मेल खाते हैं तो आपको इसकी अनुमति देता है। व्यवहार में आप कभी-कभी इंद्रधनुषी तालिकाओं का उपयोग करके विभिन्न पाशविक बल प्रक्रियाओं के माध्यम से प्रक्रिया को उल्टा कर सकते हैं ...
Oskar Duveborn
2
चाहे उनके पास यह एन्क्रिप्टेड था या नहीं, उन्होंने इसे एक योजना-पाठ ईमेल में भेजा! वह वेबसाइट किसी भी तरह से सुरक्षा को लेकर गंभीर या क्लैटेड नहीं है। उम्मीद है कि आपने उन्हें एक पासवर्ड नहीं दिया है जिसे आप कहीं और इस्तेमाल करते हैं। सही?
दानो
मैंने एक साइट को त्याग दिया क्योंकि उन्होंने महीने में एक बार मुझे अपना उपयोगकर्ता नाम और पासवर्ड ई-मेल करने पर जोर दिया, चाहे मैंने इसके लिए पूछा हो या नहीं। मैंने उन्हें यह बताने के लिए कई बार ई-मेल किया कि यह अच्छा अभ्यास नहीं था, फिर हार मान ली।
TRIG

जवाबों:

25

पासवर्ड डीबी में संग्रहीत होने पर वे एन्क्रिप्शन का उपयोग कर सकते हैं, लेकिन उन्हें इसे पुनर्प्राप्ति योग्य प्रारूप में संग्रहीत नहीं किया जाना चाहिए, एन्क्रिप्ट किया हुआ या अन्यथा।

उन्हें पासवर्ड का एक-तरफ़ा हैश (प्लस सॉल्ट ) लेना चाहिए। इसका मतलब है कि वे आपके द्वारा दिए गए पासवर्ड की जांच कर सकते हैं जो आपने पहले दिया था, लेकिन वे (या उनके डीबी तक पहुंच वाले कुछ पटाखे) यह पता नहीं लगा सकते हैं कि यह क्या है। पासवर्ड को एन्क्रिप्ट करने का मतलब है कि पटाखा को डीबी और एन्क्रिप्शन कुंजी को ढूंढना होगा , लेकिन चूंकि कुंजी वेबसाइट पर सेवा देने वाले सर्वर पर होनी चाहिए, यह मुश्किल नहीं है।

इसलिए अगर वे आपको अपना पासवर्ड भेज सकते हैं तो इसका मतलब है कि वे अच्छी तरह से ज्ञात सुरक्षा सर्वोत्तम प्रथाओं का पालन नहीं कर रहे हैं।

इस तरह का बुरा अभ्यास आपके द्वारा पंजीकृत प्रत्येक वेबसाइट के लिए एक अलग पासवर्ड का उपयोग करने का एक अच्छा कारण है ।

डेव वेब
स्रोत
9
BTW, हैकर्स के बजाय उन्हें पटाखे बुलाने के लिए धन्यवाद !
एनवीआरएएम
एक तरफ, क्रेडिट कार्ड की जानकारी संग्रहीत करने के लिए प्रमुख बैंकों द्वारा दो-तरफ़ा हैश को पर्याप्त रूप से सुरक्षित माना जाता है।
रानको
1
@runako: क्या एक दो तरह हैश है? एक हैश फ़ंक्शन आमतौर पर एक निश्चित आकार के मूल्य का उत्पादन करता है, जिसका अर्थ है कि मूल फिर से नहीं मिल सकता है जब तक कि मूल हैश मान से बड़ा न हो।
डेविड थॉर्नले
1
क्षमा करें, गलत पोस्ट। वह "टू-वे फंक्शन" होना चाहिए था।
२०१
19

यहां तक कि अगर यह है एन्क्रिप्टेड और सुरक्षित है, कि ई-मेल का कोई उपाय नहीं सुरक्षित में था।

एक बात आप कर पता है, ई-मेल का उपयोग करके , अपना पासवर्ड अब लगभग है
निश्चित रूप से कई पर सादे पाठ में संग्रहीत अन्य स्थानों :

  • पर उनके मेल सर्वर
  • आपके ई-मेल प्रदाता के सर्वर पर
  • आपके कंप्यूटर के ब्राउज़र या ई-मेल संग्रहण निर्देशिकाओं में
  • रास्ते में "सुन रहा है" हो सकता है जो किसी के हार्ड ड्राइव / लॉग पर
  • ... और संभवतः आपके और उस साइट के बीच किसी भी इंटरनेट हॉप पर।
रॉबर्ट कार्टेनो
स्रोत
1

जैसा कि डेव ने कहा, वे और उम्मीद कर सकते हैं कि वे एन्क्रिप्शन का उपयोग कर रहे हैं, लेकिन मैंने उन साइटों को देखा है जो सादे पाठ में पासवर्ड स्टोर करते हैं। वे एक नया अस्थायी पासवर्ड भी उत्पन्न कर सकते हैं जब आप हिट करते हैं तो मैं अपना पासवर्ड बटन भूल गया था, कि आपको पहली बार इसके साथ लॉगिन करने पर बदलना होगा। लब्बोलुआब यह है कि आप यह नहीं जानते कि वे आपके पासवर्ड को कैसे स्टोर करते हैं और जब तक साइट को उसी कंपनी द्वारा होस्ट नहीं किया जाता है जिसे आपको समर्थन मिलता है, और उनके पास केवल कुछ ही लोग हैं, यह संभावना नहीं है कि आप किसी से भी पूछ सकेंगे। पता है कि यह कैसे संग्रहीत है, और यहां तक ​​कि अगर उन्हें पता था कि यह संभावना नहीं है कि वे आपको बताएंगे।

Beaner
स्रोत
0

जवाब नहीं है - यह किसी भी चीज का प्रमाण नहीं है।

किसी भी मामले में, आपके पास यह जानने का कोई तरीका नहीं है कि पासवर्ड आंतरिक रूप से कैसे संग्रहीत किए जाते हैं। सबसे अधिक संभावना है कि वे mysql जैसे डेटाबेस का उपयोग कर रहे हैं, और यह हो सकता है कि वे डेटाबेस के अंदर एन्क्रिप्टेड नहीं हैं। हालाँकि, यह अभी भी संभव है कि वे सचेत रूप से कुछ एन्क्रिप्टेड मीडिया जैसे TrueCrypt में पूरे डेटाबेस को संग्रहीत कर रहे हैं । आप केवल यह कर सकते हैं कि आपकी गोपनीयता की रक्षा के लिए उन्होंने पर्याप्त उपाय किए हैं।

harrymc
स्रोत
6
यह इस बात का प्रमाण है कि वे एक-तरफ़ा हैश के साथ एन्क्रिप्टेड संग्रहीत नहीं हैं , और इसलिए सादे पाठ पासवर्ड को पुनर्प्राप्त किया जा सकता है।
एनवीआरएएम
1
पुनः प्राप्त सादे पाठ के समान नहीं है। पुनःप्राप्त का अर्थ भी डिक्रिप्ट किया जा सकता है। सादा पाठ का अर्थ है सरल पाठ के रूप में संग्रहित किया जाना, जिसे कोई बहुत प्रयास के बिना प्रदर्शित कर सकता है।
१६:०५ पर २५'०
1
यदि इसे डिक्रिप्ट किया जा सकता है तो यह सुरक्षित नहीं है। प्रमाणीकरण बॉक्स पर ले जाएँ और आपके पास सभी के पासवर्ड को डिक्रिप्ट करने की कुंजी है।
जेरेमी एल
1
याह, साइट सर्वर पर ले जाएँ और एक-तरफ़ा हैशेड होने से पहले ही आप पासवर्ड लॉग कर सकते हैं। आओ दोस्तों, तुम मूर्ख हो रहे हो।
harrymc
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.