如何判斷站點是否以明文形式儲存密碼(以及如何操作)
無論何時你在一個網站註冊,你都相信他們你的個人信息。他們至少可以訪問你的電子郵件地址,可能更多——當然,包括你的密碼。
但是,你如何判斷網站是否妥善保管了你的私人信息呢?當網站以明文形式存儲帳戶詳細信息時,為什麼會出現問題?你能做些什麼?
什麼是明文為什麼(plaintext why)?
明文正是它聽起來的樣子:你的密碼是完全按照你寫下來的方式存儲的。
假設你使用的一個網站被黑客入侵了。黑客可以進入一個記錄了密碼的賬戶列表。假設您的密碼是“Pa$$w0rd”(我們真的希望不是這樣)。網絡罪犯可以掃描列表,找到你的電子郵件地址,並很容易閱讀你的“安全”登錄名是“Pa$$w0rd”。
最大的問題是,不管你的密碼有多晦澀難懂。因為任何有權訪問你賬戶的人都可以閱讀,就像你閱讀這篇文章一樣簡單。
如果你在許多平臺上使用相同的密碼,那就更令人擔憂了。MakeUseOf建議出於這個原因不要這樣做,所有的安全專家也是如此。儘管如此,我們理解堅持使用易於記住的密碼的誘惑。
但是如果你這樣做,你會冒黑客使用洩露的明文資源進入你的網上銀行賬戶、Facebook,以及你在上面複製密碼的其他任何東西。
估計有30%的電子商務網站以明文形式存儲密碼。這不是我們可以輕易忽略的。
它也不僅僅侷限於小型的獨立網站。一些大公司被抓了出來,包括NHL,Match.com網站,LinkedIn,國民信託基金和沃達豐。幸運的是,他們已經實現了更安全的存儲方法。
如何安全地存儲密碼?
除了明文還有什麼選擇?實際上,存儲密碼有幾個選項,但並非所有選項都像最初聽起來那樣安全。
許多網站使用散列函數,將您的密碼轉換為另一組數字。如果黑客進入,他們只能看到這些隨機字符。不過,這是一個有缺陷的算法,因為每次輸入密碼時,它都會生成相同的哈希值。然後系統會確保這些數字相互關聯,讓您可以訪問您的帳戶。
是的,他們可以被破解,特別是通過暴力攻擊。
不過,如果你經營一個電子商務網站,你應該改用鹹哈希。它們採用相同的原理,但在密碼進入哈希算法之前,需要額外的數字來結束密碼。
慢哈希甚至更好——它們限制了黑客每秒攻擊數據集的次數。如果一個網絡罪犯知道破解密碼需要更長的時間,他們就不太可能鎖定這個賬戶。
如何判斷站點是否以明文形式存儲密碼
除非你在有關公司工作,否則很難說清楚。如果你這樣做了,你需要提醒你的技術團隊,以明文形式存儲私人數據是不道德的。
不過,有一個很好的指標你可以參考。如果你設置了一個帳戶,網站會給你發送一封列出密碼的電子郵件,它很可能以明文形式存儲。
如果你點擊“忘記密碼”並通過電子郵件發送給你,它們肯定是不安全的。如果它被加密了,他們就不能這麼做。相反,您需要驗證它是否是您的帳戶,然後完全重置您的密碼。
電子郵件無論如何都不安全。他們很容易被黑客攻擊。即使網站沒有將您的信息存儲為純文本,發送詳細信息也不安全。
如果你想徹底瞭解你的在線活動,在網上商店註冊時使用佔位符密碼。然後單擊“丟失我的密碼”(或其變體)並檢查您的電子郵件。如果唯一的選擇是重置它,那麼就這樣做。
否則,如果你能清楚地看到你的佔位符密碼在你的收件箱,這是一個令人擔憂的跡象。
你也可以查看明文罪犯,一個專門用來突出那些對你的安全不夠重視的公司的網站。
你能做些什麼?
如果你懷疑某個網站以明文形式存儲了你的密碼,請發郵件給他們。讓他們解決你的問題。
你應該從他們那裡得到迴音,在這種情況下,他們可能會向你保證他們使用加密來保護你的詳細信息。但別讓這勸阻你。不要相信加密是傻瓜的神話。
否則,我們需要談談損害賠償限制。不要對每件事都使用相同的憑據。我們知道這很誘人,你可能認為這沒有什麼真正的害處。但你錯了。我們確信你過去用過的一家公司已經被黑客入侵了。可能是MySpace、Tumblr、Dropbox……或者一大堆網站。
把你的電子郵件地址輸入“我已經被批准了”來檢查。
密碼管理器保護明文嗎?
密碼管理器是一個整潔的方式來保持您的憑據安全,而不必記住他們所有。您可以使用一個安全的密碼來訪問管理器,管理器為您知道其餘的密碼。
但它們不能幫助對抗使用明文的網站。經理是一個存儲系統,為您的安全,而不是網站的。您的私人數據仍然是可讀的,如果有人進入您的帳戶。
儘管如此,您顯然對自己保留私人信息感興趣,因此使用密碼管理器肯定有好處。
明文密碼不安全!
明文只是意味著你的密碼是完全按照你寫的方式存儲的。這是一個問題,因為黑客很容易閱讀。一定要仔細閱讀憑證轉儲和如何保護自己。
一旦註冊到一個網站,任何歡迎你收到的電子郵件不應該包括你的密碼,如果他們這樣做,這是一個帳戶使用明文指示。如果你點擊“忘記我的密碼”,他們會將實際密碼通過電子郵件發送給你,這無疑表明你的個人信息是以不安全的方式保存的。
擔心網站不安全嗎?發郵件告訴他們你的擔心。他們可能會向你保證他們使用加密,但沒有什麼是牢不可破的。如果沒有,找出信譽良好的網站應該如何存儲密碼,並告訴他們。
- 發表於 2021-03-21 20:08
- 閱讀 ( 44 )
- 分類:安全
你可能感興趣的文章
如何在iphone上儲存密碼
...沒有其他人可以訪問或讀取它,甚至蘋果也不行。相關:如何建立一個強大的密碼,你不會忘記這個密碼管理器的另一個有用的特性是,當它認為你的一個密碼可能被洩露時,它會讓你知道。要在iPhone上找到洩露的密碼,請轉至...
safari for mac的5個增強隱私和安全性的功能
... 網站如何做到這一點,以及何時何地進行跟蹤,可能是相當棘手的發現。我們已經寫了不同的方法來檢查誰在網上跟蹤你,這可以幫助你更清楚地瞭解網上隱私。 ...
如何建立一個強大的密碼,你不會忘記
... 那麼你知道如何建立一個好的密碼嗎?你怎麼能記住不止一個呢?這裡有一些技巧和竅門,以維護個人強密碼為您所有的線上帳戶。 ...
再見1密碼?5個可選的免費密碼管理器
...cup作為密碼,使用專用桌面應用程式進行雙因素身份驗證如何? ...
什麼是憑證轉儲?用這4個小貼士保護自己
...是使用一種稱為憑證轉儲的技術實現的。我們將解釋它是如何工作的,以及如何保護自己不受影響。 ...
facebook承認以明文形式儲存密碼
Facebook承認,它以明文形式儲存了數億Facebook使用者的密碼。雖然這些密碼只有Facebook員工才能看到,但這仍然是社交網路內部安全不嚴的另一個例子。 ...
什麼是csrf攻擊?如何防止它們?
... 攻擊者如何利用csrf劫持會話:示例 ...
如何關閉microsoft edge中的“儲存密碼”彈出視窗
...將提示您儲存登入詳細資訊。但這會讓人很惱火。下面是如何禁用MicrosoftEdge中的彈出視窗。 如果您計劃使用密碼管理器,我們建議您使用專用的密碼管理服務,如LastPass或Bitwarden。這些服務不依賴於瀏覽器,具有強大的本機客...
如何關閉惱人的“儲存密碼”彈出視窗在鉻
...ome中持續不斷的“儲存密碼”提示可能會很煩人。下面是如何禁用它們。 每次你登入到一個新網站,網路瀏覽器都會自動載入一條彈出訊息,詢問你是否要將使用者名稱和密碼儲存到Chrome。這樣,你的使用者名稱和密碼將在連...
如何在microsoft edge中新增、編輯或刪除儲存的密碼
如果您正在Microsoft Edge中儲存密碼,則無需擔心登入到您喜愛的網站。但是,如果需要編輯或刪除儲存的密碼,則需要訪問Edge的“設定”選單。 這些步驟涉及到微軟在2020年夏季推出的基於鉻的邊緣瀏覽器。如果您最近沒有更新...
