我最近使用了Meebo,我必须承认我有点偏执于将我的 IM 登录信息输入到这样的网站。他们如何为每个单独的 IM 服务存储我的用户名和密码?只有当网站获取我的密码并对其执行某种不可逆转的单向功能时,我才会感到舒服,但似乎 Meebo 必须以一种他们可以随时检索的方式存储我的密码,以促进自动登录到他们支持的单独的 IM 服务。我有理由对此感到偏执吗?
编辑:我从Meebo 的隐私政策中找到了这段摘录:
第三方 IM 服务用户名和密码。Meebo 允许您通过 Meebo 登录您的帐户来访问第三方 IM 服务(“第三方 IM 服务”)。为了访问您的第三方 IM 服务帐户,您必须在 Meebo 服务上输入适用的用户名和密码。为了使用网站上的基本 IM 服务,Meebo 不会将您的第三方 IM 服务帐户的密码存储在我们的服务器上。如果您希望使用服务的高级功能,例如自动登录,可能需要存储您的密码。
杰夫阿特伍德不久前在这篇文章中发布了这个主题:请给我们您的电子邮件密码。
是的,你是。
是的,你是有道理的。当您将您的用户名/密码提供给站点时,任何站点,您真的不知道/保证他们将使用它做什么以及他们将如何保护它。
注意第 2 行和第 3 行。为了执行第 3 行,Meebo 需要您的密码;(除非 IM 提供商和 Meebo 之间有一些合作(这是可能的,但不太可能))它在这些行之间的某个点上有您的明文密码。
恭喜,您不再完全控制您的 IM 帐户;就 IM 服务而言,Meebo就是你。
换句话说:你相信 Meebo 不会滥用你的密码吗?你相信 Meebo 会保护你的密码吗?你相信 Meebo 不会被黑客入侵,你的密码不会被盗吗?据我所知,没有办法说(除非你是 Meebo,但你不是)。
归结为:你相信 Meebo 的承诺吗?
这是我的 0.02 美元:方便吗?查看。极度缺乏安全感?查看。
哦,回答标题中的问题:最佳做法是“加密密码,不要将明文保存在任何地方(超过绝对必要的时间)”。但是,我见过太多带有明文密码字段的数据库;在发生真正糟糕的事情之前,一些企业显然认为加密是浪费精力。美宝吗?我没有办法告诉。
在meebo 博客上,他们更详细地讨论了他们的安全功能。这是摘要:
“我们存储您的 [meebo] 密码的盐渍哈希,而不是密码本身。”
“[我们使用您的] Meebo 帐户密码临时解密您的 IM 帐户密码。我们只将解密版本保存在内存中,一旦您注销,我们就会忘记解密版本。”
所以这项服务似乎很安全。如果您想更加安全,请不要使用您的 meebo 帐户登录,而是使用您的 IM 详细信息登录。
除非他们与创建散列并仅传递散列的每个供应商签订了合同,否则他们将需要存储您的信息。
他们在这里解释了他们如何将数据从浏览器发送到他们的服务器;提交表单之前在 javascript 中进行 RSA 加密。
http://www.meebo.com/security/
编辑:澄清一下,他们没有指定如何存储它,但大概是双向加密,可能以用户密码作为密钥?
Meebo 使用您的 meebo 帐户密码加密您的个人帐户密码。您的 meebo 帐户密码是 bcrypt-ed。因此,除非您登录,否则 Meebo 不知道您的任何密码。 http://blog.meebo.com/?p=2220