Security 像Meebo这样的网站如何存储用户名和密码?
我最近使用过,我必须承认,我有点偏执,不想在这样的网站上输入我的IM登录信息。他们如何为每个单独的IM服务存储我的用户名和密码?只有当一个网站接受我的密码并对其执行某种类型的不可逆单向功能时,我才会感到舒服,但似乎Meebo必须以一种他们可以随时检索的方式存储我的密码,以便自动登录到他们支持的单独IM服务。我有理由对此妄想吗Security 像Meebo这样的网站如何存储用户名和密码?,security,passwords,meebo,Security,Passwords,Meebo,我最近使用过,我必须承认,我有点偏执,不想在这样的网站上输入我的IM登录信息。他们如何为每个单独的IM服务存储我的用户名和密码?只有当一个网站接受我的密码并对其执行某种类型的不可逆单向功能时,我才会感到舒服,但似乎Meebo必须以一种他们可以随时检索的方式存储我的密码,以便自动登录到他们支持的单独IM服务。我有理由对此妄想吗 编辑: 我发现这段摘录自: 第三方IM服务用户名和密码。Meebo允许您通过Meebo登录您的帐户来访问第三方IM服务(“第三方IM服务”)。为了访问您的第三方IM服务帐
编辑: 我发现这段摘录自: 第三方IM服务用户名和密码。Meebo允许您通过Meebo登录您的帐户来访问第三方IM服务(“第三方IM服务”)。为了访问您的第三方IM服务帐户,您必须在Meebo服务上输入适用的用户名和密码。为了在网站上使用基本IM服务,Meebo不会在我们的服务器上存储您的第三方IM服务帐户的密码如果您希望利用服务的高级功能,如自动登录,则可能需要存储密码。
杰夫·阿特伍德(Jeff Atwood)不久前在这篇文章中发表了关于这个主题的文章:。除非他们与每个供应商签订了合同,在合同中他们创建了一个散列并只传递散列,否则他们将需要存储您的信息 是的,你是。是的,你是正当的。当你给一个站点,任何一个站点提供用户名/密码时,你真的不知道/无法保证他们将如何使用它以及如何保护它。他们解释了他们如何将数据从浏览器发送到他们的服务器;表单提交前在javascript中进行RSA加密 编辑:澄清一下,他们没有指定如何存储,但可能是双向加密,可能是以用户密码作为密钥
哦,为了回答标题中的问题:最佳实践是“加密密码,不要将明文保留在任何地方(超过绝对必要的时间)”。然而,我已经看到太多的数据库使用明文密码字段;一些企业显然将加密视为浪费精力,直到真正糟糕的事情发生。Meebo呢?我无从得知。Meebo使用您的Meebo帐户密码加密您的个人帐户密码。 您的meebo帐户密码是bcrypt-ed。因此,除非您登录,否则meebo不知道您的任何密码。 在上,他们更详细地讨论了他们的安全功能。总结如下: “我们存储的是您的[meebo]密码,而不是密码本身。” “[我们使用您的]Meebo帐户密码临时解密您IM帐户的密码。我们只将解密版本保存在内存中,一旦您注销,我们就会忘记解密版本。”
所以这项服务看起来相当安全。如果您想更加安全,请不要使用meebo帐户登录,而是使用您的IM详细信息登录。我认为这是最有可能出现的情况这说明了您键入的信息是如何发送到meebo的,不是他们如何存储或如何将其发送给其他供应商。很好的一点是,他们没有列出他们如何将其存储在我能找到的任何地方,只是暗示它是加密的和/或“安全的”。有理由怀疑。我永远不会给社交网站发密码。我希望不是这样,这是一项非常方便的服务。@average:eeeeexactly。Meebo有您的密码(需要存储)。这是方便的价格;这是一个安全性/便利性权衡的教科书式示例。即使对凭据进行了加密,受损数据库也会包含受损的加密密钥。