【資安問題】你在網站上的密碼是明碼保存,還暗碼保存?
【資安問題】剛聽到的一件很恐怖的事……PChome 網路購物,按忘記密碼,官方寄來的信件中,是直接寫「你當初使用的密碼」,而不是一個亂數生成的限定天數內使用的密碼,或是點下去直接重設密碼的連結。……也就是說,他們的資料庫內,你的密碼全是「明碼」,被人駭走,就能直接用帳密登入了。
2013-11-26 13:37:59@wahsuwang 【資安問題】伺服器端保存密碼的安全作法,應該是「你打了一串明碼 → 跑加密演算(hash) → 生出一個爹娘都認不出是啥的鬼英數字串」,然後你登入時,密入的密碼,會再跑一次加密演算,與那串鬼英數字一致,就允許你登入。所以「只有你知道密碼的明碼」。
2013-11-26 13:40:50@wahsuwang 【資安問題】而若你忘記密碼,以Google為例,會要求你提供一個進階註冊時,填寫的市話或手機號碼,才會發一封「重置密碼」的信件到備用信箱,讓你點信中的連結,去直接打新密碼,過程中完全不需要輸入原來的密碼。(當然你記得密碼登入後,是新舊密碼都要打才能改啦)
2013-11-26 13:44:02@wahsuwang 【資安問題】不過如果很不幸,你的信箱帳密也被人破解或盜走了的話,那就沒啥可做的了。不過 Google 的話,還會傳手機簡訊給你,也許有辦法靠手機收認證碼,線上直接更改密碼吧。(個人沒試過所以只是猜測)……總之老把帳密被盜的責任推給使用者實在不行呀。
2013-11-26 13:46:54@wahsuwang 【資安問題】不過最討厭的,還是「會記錄所有歷史密碼」的網路服務供應商了,玻璃渣跟 PChome 好像都是這樣,所以你想換回用過的舊密碼會被擋下,至於是用明檔存還暗碼存,就不確定了。(hash 加密過一樣可以比對加密過的字串確認是否一致,極少機率異碼會相同)
2013-11-26 13:51:24@wahsuwang 【資安問題】順便簡單說一下惡質駭客或怪客怎麼盜你帳密的。只能使用信箱當帳號的,當然你的信箱公開放上網時,就有可能被試,而且是會所有網站都試(如果你的帳號真的那麼有用的話)。密碼部分,大家都有過用常見字當密碼的經驗吧,跑字典檔慢慢踹就好,一個被破,全都被破。
2013-11-26 14:13:57@wahsuwang 【資安問題】也就是說,除非你不同網站,都用不同的帳密,或是開一個會隨機產生帳密的程式來管理(忘了叫啥名字去了),否則在使用「同一信箱」「同一暱稱」當帳號時,就可能一個站的密碼被破解,讓全部可能的網站都被順手破解了。(個人推薦的作法還是瀏覽器開自動填入帳密啦)
2013-11-26 14:20:58@wahsuwang 【資安問題】補個密碼講解網站,使用者看了長知識,管理者看了保飯碗。 - 什麼是「加密」?什麼是「沒加密」? | 我的密碼沒加密 http://t.co/StwSotWM5Z
2013-11-26 14:25:51@wahsuwang 【資安問題】自動產生並管理密碼的軟體 - keepass - Google 搜尋 https://t.co/frGY9QW1L0
2013-11-27 02:55:29