Reversert kryptering

[stelar7]

På sider der du kan få tilsendt passord som e-mail osv, hvordan gjør de det?

 

Lagrer de passordet ukryptert? Har de en annen måte?

 

dårlig tråd tittel, sorry

Endret 13. juni 2012 av stelar7

[Gjest]

Heisann!

 

Passordene skal og burde være lagret kryptert gjerne med salt i tillegg på sider! Dersom du får tilsendt samme passord som du engang satte i tiden anbefaler jeg deg å ta kontakt med support og spør om dem lagrer det i klartekst da det er ganske alvorlig hvis noe skulle skje.

[Mannen med ljåen]

Mange seriøse sider sender deg ikke passordet hvis du glemmer det.

 

Har du glemt passordet ditt, får du opprette nytt passord, men du får aldri vite hva det gamle passordet var.

[nomore]

De sidene hvor du kan trykke på glemt passord, og får tilsendt passordet ditt i lesbar tekst, de lagrer passordet i klartekst i databasen og driter seg loddrett ut sikkerhetsmessig. Og det er skremmende mange som gjør dette: http://www.passwordfail.com/websites/

[MikkelRev]

Det er utrolig vanlig å få passordet tilsendt i emailen i klartekst. Både i glemt passord-mailer og i registrerings-aktiverings-mailer.

[TheClown]

Jeg mener det er utrolig sjeldent man får passordet i klartekst. Man får det såklart på aktiverings-eposten, fordi denne blir sendt ut av samme script som hasher passordet osv.

 

Vanlig praksis for "jeg har glemt passordet" er å gi et nytt passord vil vedkommende og sende det på e-post. Å lagre et passord i klartekst i en database er epic error on line #0 in propper programming.

[nomore]

Eg synes ikke det er en god ting at passordet blir sendt ut i klartekst, heller ikke på registreringse-posten.

 

Og det er flere enn du skulle tro som bommer her. Se linken eg la inn over.

[MikkelRev]

Eg synes ikke det er en god ting at passordet blir sendt ut i klartekst, heller ikke på registreringse-posten.

Hvorfor ikke det? Dette betyr ikke at de lagrer passordet ditt i klartekst.

[Mannen med ljåen]

Dette betyr ikke at de lagrer passordet ditt i klartekst.

Men mailserveren, for eksempel Hotmail, lagrer passordet ditt i klartekst.

[nomore]

Eg synes ikke det er en god ting at passordet blir sendt ut i klartekst, heller ikke på registreringse-posten.

Hvorfor ikke det? Dette betyr ikke at de lagrer passordet ditt i klartekst.

For det første skaper det tvil. For det andre er e-post usikkert under transport. Og dersom det ligger til evig tid i en postboks så vil man få tilgang til ganske mye bare ved å bryte seg inn ett sted(e-postkontoen din). Og det er og mange som laster ned e-posten sin og har den liggende usikret på egen maskin.

[MikkelRev]

Jeg ser poenget.

[Yawa]

En mye brukt metode er denne:

 

Man klikker "glemt passord",

fyller inn epost,

mottar et nytt generert passord i hvor passordet kun sendes til brukerens epost i klartest før det krypteres av scriptet og lagres i databasen.

 

Som oftes genereres et midlertidig glemt-passord-alias som benyttes til å verifisere brukeren som skal ta i bruk det nylig genererte passordet...