Security 像Meebo这样的网站如何存储用户名和密码？

我最近使用过，我必须承认，我有点偏执，不想在这样的网站上输入我的IM登录信息。他们如何为每个单独的IM服务存储我的用户名和密码？只有当一个网站接受我的密码并对其执行某种类型的不可逆单向功能时，我才会感到舒服，但似乎Meebo必须以一种他们可以随时检索的方式存储我的密码，以便自动登录到他们支持的单独IM服务。我有理由对此妄想吗

---

编辑： 我发现这段摘录自：

第三方IM服务用户名和密码。Meebo允许您通过Meebo登录您的帐户来访问第三方IM服务（“第三方IM服务”）。为了访问您的第三方IM服务帐户，您必须在Meebo服务上输入适用的用户名和密码。为了在网站上使用基本IM服务，Meebo不会在我们的服务器上存储您的第三方IM服务帐户的密码如果您希望利用服务的高级功能，如自动登录，则可能需要存储密码。

---

杰夫·阿特伍德（Jeff Atwood）不久前在这篇文章中发表了关于这个主题的文章：。

除非他们与每个供应商签订了合同，在合同中他们创建了一个散列并只传递散列，否则他们将需要存储您的信息

是的，你是。

是的，你是正当的。当你给一个站点，任何一个站点提供用户名/密码时，你真的不知道/无法保证他们将如何使用它以及如何保护它。

他们解释了他们如何将数据从浏览器发送到他们的服务器；表单提交前在javascript中进行RSA加密

编辑：澄清一下，他们没有指定如何存储，但可能是双向加密，可能是以用户密码作为密钥

给我你的即时通讯密码，我会帮你登录

Piskvor对Meebo说：“12345”

Meebo对IM说：你好，我是“Piskvor”；为了证明这一点，我的密码是“12345”

我对Meebo说：你好，你真的是“Piskvor”；还有一条来自用户“average”的消息

Meebo致Piskvor：有一条来自用户“average”的消息

（等）

注意第2行和第3行。为了完成第三步，Meebo需要你的密码；（除非IM提供商和Meebo之间有一些合作（这是可能的，但不太可能）），在这些行之间的某个点上，它有您的明文密码

祝贺你，你不再完全控制你的即时通讯帐户；就IM服务而言，Meebo就是您

换句话说：你相信Meebo不会滥用你的密码吗？你相信Meebo会保护你的密码吗？你相信Meebo不会被黑客入侵，你的密码也不会被偷吗？ 在我看来，没有办法告诉你（除非你是Meebo，而你不是）

归结起来就是：你相信米波的承诺吗？

这是我的0.02美元：方便吗？检查。极度不安全？检查

---

---

哦，为了回答标题中的问题：最佳实践是“加密密码，不要将明文保留在任何地方（超过绝对必要的时间）”。然而，我已经看到太多的数据库使用明文密码字段；一些企业显然将加密视为浪费精力，直到真正糟糕的事情发生。Meebo呢？我无从得知。

Meebo使用您的Meebo帐户密码加密您的个人帐户密码。 您的meebo帐户密码是bcrypt-ed。因此，除非您登录，否则meebo不知道您的任何密码。

在上，他们更详细地讨论了他们的安全功能。总结如下：

“我们存储的是您的[meebo]密码，而不是密码本身。”

“[我们使用您的]Meebo帐户密码临时解密您IM帐户的密码。我们只将解密版本保存在内存中，一旦您注销，我们就会忘记解密版本。”

---

所以这项服务看起来相当安全。如果您想更加安全，请不要使用meebo帐户登录，而是使用您的IM详细信息登录。

我认为这是最有可能出现的情况这说明了您键入的信息是如何发送到meebo的，不是他们如何存储或如何将其发送给其他供应商。很好的一点是，他们没有列出他们如何将其存储在我能找到的任何地方，只是暗示它是加密的和/或“安全的”。有理由怀疑。我永远不会给社交网站发密码。我希望不是这样，这是一项非常方便的服务。@average:eeeeexactly。Meebo有您的密码（需要存储）。这是方便的价格；这是一个安全性/便利性权衡的教科书式示例。即使对凭据进行了加密，受损数据库也会包含受损的加密密钥。