1

我最近忘记了一个网站的密码,并通过他们的支持流程来解决这个问题。他们通过电子邮件将我的原始密码以明文形式发送给我。

我给他们发了一封严厉的电子邮件,指出电子邮件不是一种安全的传输协议,并且通过向我发送我的密码的明文版本,他们表明他们没有存储我密码的散列版本。我接着说,任何有权访问他们的数据库或入侵他们的系统的人都可以访问密码。

这些断言正确吗?

4

2 回答 2

2

是的,你的断言是正确的。

虽然我们不能确定他们是否以明文格式存储密码,但很明显它是以无损形式存储的,而且他们(也可能是攻击者)有可能计算出明文密码。

无论如何,这是很差的安全性。

作为用户,您可以采取的一种减轻此类风险的方法是为每个站点分配一个唯一的随机密码。有许多软件工具可让您管理此类密码。

于 2013-04-01T07:15:35.813 回答
1

如果它是您的原始密码,那么它可能是不安全的。他们可能正在加密它,但不太可能。即使是这样,加密密码也只比以纯文本保存密码好一点。

于 2013-04-01T07:11:23.340 回答