Как сказать, хранит ли сайт пароли в [закрытом] простом тексте

Худший знак состоит в том, если они CAN посылают Вам по электронной почте Ваш пароль в простом тексте.

Нет никакой гарантии, что они хранят его в простом тексте, но если шифрование, которое они используют, будет обратимо затем, то большинство застройщиков сайта будет знать, как пароль шифруется/дешифруется и может, вероятно, считать его.

Обычно Вы будете только узнавать, когда Вы получите электронное письмо с подтверждением учетной записи, или Вы просите "отправлять новый пароль", и Вы получаете оригинал в простом тексте вместо случайного или ссылке сброса пароля.

Я не думаю никакие глупые правила о том, что может и не может быть в пароле, сильные индикаторы. Ваш лучший выбор состоит в том, чтобы использовать сильные уникальные пароли для всего.

Две вещи приходят на ум.

A: Просто, потому что Вы получили электронное письмо с незашифрованным паролем, не означает, что это хранится в простом тексте. Мы шифруем, и электронная почта в простом тексте, это - плохая практика, но шаг от простого текста.

B: Используйте менеджер паролей, если Вы волнуетесь по поводу этого типа вещи. Вы не можете управлять паролем других людей плохие методы, чем можно управлять, хорошие методы и ущерб, нанесенный, если один из паролей поставлен под угрозу.

Я использую KeePass сам. Это имеет генератор пароля, что можно изменить правила к тому, так, чтобы у Вас могли быть супер неясные пароли (такие как: YhdyLa1PJSftp7) характерный для критериев сайта.

К сожалению, в целом нет никакого способа знать наверняка, хранит ли сайт Ваш нехешированный пароль.

В то время как это одно не указывает, что они не хешируют свои пароли, действительно ли это - сильный индикатор? Если пароль будет хеширован, то эти специальные символы будут переведены во что-то еще, и любой вредный SQL будет превращен в случайные символы. На основании того, что они не позволяют те символы, это означает, что пароль будет помещен в базу данных без того, чтобы быть хешированным?

Нет, это не обязательно означает это. p-> q (т.е. разрешение специальных символов-> хешированный пароль (если их безопасность не смехотворно плоха)) не позволяет Вам завершать ~p-> ~q (т.е. запрещение специальных символов-> пароль, не хешированный). Другими словами, возможно, что они запрещают те символы, но действительно все еще хешируют Ваш пароль.

Я также зарегистрировался на другом сайте, который, казалось, имел строгие меры безопасности и имел хорошие отзывы покупателей. Однако, после того как я завершил регистрацию и получил их приветственное электронное письмо, именно мой пароль в простом тексте, был неприятным удивлением.

Возможно, что они генерировали электронную почту, в то время как пароль был в памяти, но только сохранил хеш. Хотя пользование электронной почтой незашифрованного пароля, как Вы говорите, не хорошая практика безопасности.

Если Вы получаете электронное письмо, говоря Вам, что они переключаются на новую систему с более коротким пределом пароля, чем существующая система и что они автоматически усекут пароль для Вас, это - мертвая дешевая распродажа, что они хранят пароли.

Это недавно произошло со мной с учетной записью онлайна - банкинга. Вы думали бы, что они будут знать лучше.

BTW, который не говорит Вам, что они хранятся в простом тексте. Они, возможно, были зашифрованы. Но с точки зрения безопасности это не лучше, чем хранение их в простом тексте. Фактические пароли никогда не должны храниться ни в какой форме.

На основании того, что они не позволяют те символы, это означает, что пароль будет помещен в базу данных без того, чтобы быть хешированным?

Нет. Это обычно - плохой знак, если некоторые символы запрещены (и невероятно раздражающий, если у Вас есть система для составления паролей с пунктуацией в), но это не красный флаг сам по себе. Иногда существуют другие технические причины для запрещения некоторых символов (*), и очень часто глупые причины политики управления не к.

(*: в частности, Базовая аутентификация HTTP не может надежно включать a ‘:’ символ в имени пользователя или любой символ неASCII в имени пользователя или пароле.)

Однако, после того как я завершил регистрацию и получил их приветственное электронное письмо, именно мой пароль в простом тексте, был неприятным удивлением.

Да. Не хороший, но снова это не обязательно означает, что они хранят как простой текст; они могли отправлять почту и затем хешировать ее после этого.

(Вероятно, не, хотя а!)

каковы некоторые предупредительные знаки, что Ваш пароль не может быть зашифрован?

Если ‘восстанавливаются, пароль’ средство существует, который может отправить Вам по почте пароль, после того, как подписано.

Кто-то должен создать сайт, где можно выделить сайты с плохой безопасностью для регулирования клиентов далеко

Это было бы хорошо, но затем что кого-то будут постоянно преследовать технически невежественные, но счастливые тяжбой компании. И когда большинство коммерческих сайтов все еще также уязвимо для простого XSS или нападений на XSRF, список “сайтов с плохой безопасностью” был бы намного длиннее, чем “сайты с хорошей безопасностью”.