如果“忘记密码?”页面通过电子邮件发送您的旧密码,这是否能证明他们已将密码以纯文本形式存储?

如果“忘记密码?”页面通过电子邮件发送您的旧密码,这是否能证明他们已将密码以纯文本形式存储?

当网站通过电子邮件发送您的旧密码时,而不是要求您在网站上重置密码,我想知道这对他们的安全措施意味着什么。

这是否意味着他们为了方便而以纯文本形式存储密码,或者他们仍然可以对密码进行加密?

答案1

当密码存储在数据库中时,他们可能会使用加密,但他们根本不应该以可检索的格式存储它,无论加密与否。

他们应该采取单向哈希密码(加上)。这意味着他们可以检查您现在输入的密码是否与您之前提供的密码相匹配,但他们(或某些有权访问其数据库的破解者)无法找出密码是什么。加密密码意味着破解者必须找到数据库加密密钥,但由于密钥必须位于为网站提供服务的服务器上,这并非不可想象。

因此,如果他们可以向您发送密码,则意味着他们没有遵循众所周知的最佳安全实践。

像这样的坏习惯是在每个注册的网站上使用不同的密码

答案2

即使尽管该电子邮件已加密且安全,但从任何角度而言都不是安全的。

有一件事你知道,通过电子邮件,你的密码现在几乎可以
肯定以纯文本形式存储在许多其他位置

  • 他们的邮件服务器
  • 在您的电子邮件提供商的服务器上
  • 在您的计算机的浏览器或电子邮件存储目录中
  • 在任何可能一路“监听”的人的硬盘/日志中
  • ...并且很有可能任何您和该网站之间的互联网跳转。

答案3

正如 Dave 所说,他们可以并且希望使用加密,但我见过以纯文本形式存储密码的网站。当您点击“我忘记了密码”按钮时,他们还可以生成一个新的临时密码,您必须在第一次使用该密码登录时更改该密码。最重要的是您不知道他们如何存储您的密码,除非该网站由您获得支持的同一家公司托管,并且他们只有少数人,否则您不太可能能够询问任何知道它如何存储的人,即使他们知道,他们也不太可能告诉您。

答案4

答案是否定的——这并不能证明任何事情。

无论如何,你无法知道密码在内部是如何存储的。他们很可能使用像 mysql 这样的数据库,而且密码可能没有在数据库内加密。然而,他们仍有可能有意将整个数据库存储在一些加密媒体中,例如TrueCrypt。你所能做的就是希望他们已经采取了足够的措施来保护你的隐私。

相关内容