Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 附加密码可以被撤销吗?_Security_Salt - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 附加密码可以被撤销吗?

Security 附加密码可以被撤销吗?

security

Security 附加密码可以被撤销吗?,security,salt,Security,Salt,我刚刚在hosting24.com上按了“忘记密码”,结果我的密码以明文形式通过电子邮件发送给我,见下图。我联系了他们的技术支持对此提出疑问,他们告诉我: 我们在我们的网站上使用Salt加密,不存储密码 纯文本。如果您对以下方面有任何疑问,请告知我们: 数据的安全性 我的理解是,一旦密码被“腌制”,它就不能被还原为纯文本。我也很担心,考虑到他们的合作伙伴公司000webhosting是一场灾难的受害者,这场灾难暴露了他们的安全性不达标 谢谢 编辑: 在几封激烈的电子邮件之后,我终于得到了这样的回

我刚刚在hosting24.com上按了“忘记密码”,结果我的密码以明文形式通过电子邮件发送给我,见下图。我联系了他们的技术支持对此提出疑问,他们告诉我:

我们在我们的网站上使用Salt加密,不存储密码 纯文本。如果您对以下方面有任何疑问,请告知我们: 数据的安全性

我的理解是,一旦密码被“腌制”,它就不能被还原为纯文本。我也很担心,考虑到他们的合作伙伴公司000webhosting是一场灾难的受害者,这场灾难暴露了他们的安全性不达标

谢谢

编辑: 在几封激烈的电子邮件之后,我终于得到了这样的回复:

我们的密码在 数据库虽然我们有一个解密方法,也就是 用于防止欺诈,所有这些都将改变我们的现状 重新设计项目并更新代码以适应新时代 标准。我们很抱歉在这件事上让你失望

如有任何其他问题,请与我们联系。节日快乐

“新时代”。太棒了

编辑:
我向网站发送此链接是为了证明这一点,因此我预计他们的技术支持会投下大量的反对票。

不,没有天文计算能力,他们就不能。我敢打赌,他们有第二个明文密码数据库。不,没有天文计算能力,他们不行。我敢打赌,他们有第二个明文密码数据库。

盐渍散列密码是不可逆的,这就是散列的意义所在。然而,人们总是可以尝试通过暴力恢复它们,尝试所有可能/可能的密码,以查看哈希是否匹配

这样做的代价取决于所使用的哈希的强度,但您永远不会构建一个以这种方式存储和解密密码的系统。如果他们说他们只存储盐哈希,并且仍然能够向您发送您最初设置的密码,那么他们显然在撒谎

但是他们没有提到散列:

我们在网站上使用Salt加密,密码不是以明文形式存储的

“盐加密”不是一件事,但让我们在这里尽可能慷慨

这可能意味着他们正在使用可逆加密,使用一些随机元素变量IV,或加密消息中的额外数据,以确保两个密码不会获得匹配的加密版本,即与哈希操作中的“salt”相同的目的

同样可以想象的是,他们需要可逆密码可能有一些合理的原因,例如,如果他们需要使用这些密码对另一个单独的系统进行身份验证。使用可逆密码构建合理的系统是可能的,但与好的旧Bcrypt相比,用这种方式管理(如应用服务器上的密钥)需要付出更多的努力;广泛的内部管理政策;HSMs;和无懈可击的代码审计

比如说,我们承认这就是他们所做的,并且他们已经牢固地实现了这一点,这是非常值得怀疑的,更可能的是,他们有明文密码或被黑客攻击的易受攻击的AES。即使这样,他们也会通过未加密的公共SMTP基础设施在邮件中向您发送反向密码,从而让事情变得一团糟

您可以采取一些措施来降低邮件通道的不可靠性,例如发送一次性令牌或临时密码,这需要在以后设置新密码。但是,从来没有一个好的理由发送一个现有的密码,它将继续在目标站点上工作,并且您可能已经使用它来保护其他服务。用户设置的密码不应触碰SMTP。

盐渍哈希密码是不可直接反转的,这就是哈希的要点。然而,人们总是可以尝试通过暴力恢复它们,尝试所有可能/可能的密码,以查看哈希是否匹配

这样做的代价取决于所使用的哈希的强度,但您永远不会构建一个以这种方式存储和解密密码的系统。如果他们说他们只存储盐哈希,并且仍然能够向您发送您最初设置的密码,那么他们显然在撒谎

但是他们没有提到散列:

我们在网站上使用Salt加密,密码不是以明文形式存储的

“盐加密”不是一件事,但让我们在这里尽可能慷慨

这可能意味着他们正在使用可逆加密,使用一些随机元素变量IV,或加密消息中的额外数据,以确保两个密码不会获得匹配的加密版本,即与哈希操作中的“salt”相同的目的

也可以想象,他们需要可逆密码可能有一些合理的原因,例如,如果他们需要使用通行证 要向另一个单独的系统进行身份验证的单词。使用可逆密码构建合理的系统是可能的,但与好的旧Bcrypt相比,用这种方式管理(如应用服务器上的密钥)需要付出更多的努力;广泛的内部管理政策;HSMs;和无懈可击的代码审计

比如说,我们承认这就是他们所做的,并且他们已经牢固地实现了这一点,这是非常值得怀疑的,更可能的是,他们有明文密码或被黑客攻击的易受攻击的AES。即使这样,他们也会通过未加密的公共SMTP基础设施在邮件中向您发送反向密码,从而让事情变得一团糟

您可以采取一些措施来降低邮件通道的不可靠性,例如发送一次性令牌或临时密码,这需要在以后设置新密码。但是,从来没有一个好的理由发送一个现有的密码,它将继续在目标站点上工作,并且您可能已经使用它来保护其他服务。用户设置的密码不应触动SMTP。

并翻译成英语,这个答案是:找到另一个不存储明文密码的主机提供商,他们提供的唯一选项是重置密码,以便您可以选择新密码。虽然这个答案表面上与您回答的问题相符,它与当前的问题不匹配。该公司承认使用了可逆加密,而不是盐散列。翻译成英语后,答案是:找到另一家提供线索的主机提供商,该提供商不存储明文密码,他们提供的唯一选择是重置密码,所以你可以选择一个新的。虽然这个答案表面上与你回答的问题相匹配,但与当前的问题不匹配。该公司承认使用了可逆加密,而不是盐哈希。我会担心,如果安全专业人员在我身边使用盐加密这个术语……他们在骗你。我发现最好假设每个网站/服务/等都不安全,并为每个网站/服务/等使用不同的随机密码,由密码管理工具管理。@mylogon:Wise move。老实说,我希望有一个有效的地方来报告像这样的个人数据侵权的明确和公然的迹象。我还希望当堆栈溢出用户公开展示同样的东西时,能有一种方法向用户的雇主和/或雇主的客户报告。@mylogon:不管任何客户服务代理告诉过你什么,这都归结为一个简单的规则,不需要太多密码知识来记住。。。如果他们可以恢复你的密码,其他人也可以。如果信息被安全地存储,没有人能够恢复普通密码。不是攻击者,不是DBA,不是公司的所有者,也不是任何人。@David我已经更新了这个,现在可以显示他们的反应了。这基本上表明,支持人员在胡说八道——正如怀疑的那样。我会担心,如果一个安全专业人员在我周围使用了“盐加密”这个词……他们在骗你。我发现最好假设每个网站/服务/等都不安全,并为每个网站/服务/等使用不同的随机密码,由密码管理工具管理。@mylogon:Wise move。老实说,我希望有一个有效的地方来报告像这样的个人数据侵权的明确和公然的迹象。我还希望当堆栈溢出用户公开展示同样的东西时,能有一种方法向用户的雇主和/或雇主的客户报告。@mylogon:不管任何客户服务代理告诉过你什么,这都归结为一个简单的规则,不需要太多密码知识来记住。。。如果他们可以恢复你的密码,其他人也可以。如果信息被安全地存储,没有人能够恢复普通密码。不是攻击者,不是DBA,不是公司的所有者,也不是任何人。@David我已经更新了这个,现在可以显示他们的反应了。这基本上表明了那个支持他的人在胡说八道——正如人们所怀疑的那样。