Frage:
Wenn mir auf einer Website angezeigt wird, in was mein Passwort geändert wurde, wird es als einfacher Text gespeichert?
jclarkv
2015-03-31 17:10:13 UTC
view on stackexchange narkive permalink

Ich habe gerade das Passwort auf einer schulbezogenen Website geändert. Nach erfolgreichem Abschluss der Änderung wurde auf der nächsten Seite angezeigt, in was das Kennwort geändert wurde. Kann ich daraus schließen, dass das Passwort nicht nur als Hash gespeichert wird?

Dies ist auch aus einem anderen Grund besorgniserregend: Wenn das Kennwort auf dem Bildschirm angezeigt wird, ist es anfällig für [Schulter-Surfen] (http://en.wikipedia.org/wiki/Shoulder_surfing_%28computer_security%29). Wenn die Website schulbezogen ist, ist zu erwarten, dass die Benutzer sie in einem Klassenzimmer mit vielen anderen anwesenden Personen verwenden, die ihren Bildschirm sehen können. Dies macht dies noch fahrlässiger.
Das Anzeigen auf dem Bildschirm wirft nicht nur Bedenken hinsichtlich des Schulter-Surfens auf, sondern auch Bedenken hinsichtlich der Geschichte. Wenn der Browserverlauf nicht ordnungsgemäß verwaltet wird (lesen: ständig gelöscht), kann sich jemand an einen PC setzen, im Verlaufsordner nach der Seite zur Kennwortänderung suchen und auf einmal eine Reihe von Kennwörtern erstellen.
Es könnte niemals gehasht werden; es könnte stattdessen verschlüsselt / entschlüsselt werden. Ohne den serverseitigen Code zu sehen (der ein beliebiger Grad an Raffinesse sein kann), können wir es nicht wissen.
Es ist möglicherweise klüger, zwischen "auf eine Weise gespeichert, die abgerufen werden kann" (sei es einfacher Text oder umkehrbare Verschlüsselung) und "auf eine nicht abrufbare Weise gespeichert" (Einweg-Hashing) zu unterscheiden.
Fünf antworten:
Simon
2015-03-31 17:27:24 UTC
view on stackexchange narkive permalink

Nein, darauf können Sie nicht schließen.

Das Kennwort kann nur auf der Serverseite gehasht werden. Dies bedeutet, dass das Kennwort im Klartext an den Server gesendet und in einer Variablen gespeichert wird. Dann hindert nichts die Webanwendung daran, dem Benutzer das gesendete Kennwort anzuzeigen, wenn dasselbe Skript, das das Kennwort erhalten hat, Ihnen das Feedback zur Kennwortänderung gibt.

Andererseits Wenn Ihnen ein ganz anderes Modul das Kennwort im Klartext gibt (möglicherweise eine Kennwortwiederherstellungsfunktion), können Sie daraus schließen, dass es nicht gehasht ist.

Bearbeiten: Um Verwirrung zu vermeiden, in diesem Fall "Klartext" text "bezieht sich in keiner Weise auf SSL, sondern schlägt lediglich vor, dass das Kennwort nicht vor dem Hash an den Server gesendet wird.

Sie können nicht schlussfolgern, dass das Passwort im Klartext gespeichert wurde. Beachten Sie jedoch, dass ** nicht gehasht ** nicht genau bedeutet, dass das Passwort im ** Klartext ** gespeichert wird. Möglicherweise wird eine (umkehrbare) Verschlüsselung verwendet Unter Sicherheitsgesichtspunkten entspricht dies jedoch fast der Speicherung im Klartext. Wenn jemand unrechtmäßigen Zugriff auf die Datenbank des Servers erhält, um die "verschlüsselte" Version des Kennworts zu erhalten, kann er wahrscheinlich auch die privaten Schlüssel erhalten Das einzige, was Sie daraus schließen können, ist, dass Sie einem Administrator niemals vertrauen sollten.
Dies schließt nicht die Möglichkeit ein, dass es einfach von Seite zu Seite in der Sitzung gespeichert wurde und dass sie es gefälscht haben, als sie autoritativ sagten "es wurde in Passwort1 geändert". Sie hätten einfach annehmen können: "Nun, wenn es nicht erfolgreich geändert worden wäre, hätte es es nicht auf diese Seite geschafft, sodass wir sicher sagen können, dass alles, was gesendet wurde, erfolgreich eingestellt wurde."
@corsiKa Wir könnten viele verschiedene Fälle ansprechen, wie Sie sie gerade beschrieben haben, und ohne den tatsächlichen Code zu sehen, können wir nur annehmen. Der wichtige Teil ist die Schlussfolgerung.
ForguesR
2015-03-31 17:47:53 UTC
view on stackexchange narkive permalink

Sie können nicht schließen, dass das Passwort im Klartext gespeichert wurde, wenn es kurz nach der Änderung erneut angezeigt wird. Wenn es jedoch nach einer Weile angezeigt wird (z. B. Tage), kann dies ein guter Hinweis darauf sein, dass das Kennwort tatsächlich nicht gehasht ist (es wird im Klartext gespeichert oder verschlüsselt).

Wie auch immer, es wird erneut angezeigt Ein Passwort ist eindeutig keine bewährte Methode, da es viel mehr gefährden kann als die Website, die tatsächlich besucht wird.

Kevin T
2015-03-31 20:43:58 UTC
view on stackexchange narkive permalink

Wie andere bereits erwähnt haben, bedeutet dies nicht unbedingt, dass das Passwort im Klartext gespeichert ist, sondern ein schlechtes Zeichen und eine schlechte Praxis.

Einige Möglichkeiten, um festzustellen, ob Ihr Passwort im Klartext gespeichert ist, sind:

  1. Verwenden Sie die Kennwortwiederherstellung, um festzustellen, ob sie per E-Mail an Sie gesendet wurde (dies zeigt höchstens Klartext oder bidirektionale Verschlüsselung an).
  2. Überprüfen Sie die Kennwortanforderungen, falls vorhanden Eine niedrige maximale Länge (z. B. 15 bis 20 Zeichen) ist ein guter Indikator dafür, dass sie im Klartext gespeichert ist.
    3. ol>

    Im Allgemeinen sollten Sie für jede Site ein eindeutiges Kennwort verwenden, insbesondere wenn Sie dies sehen alle Indikatoren, die darauf hinweisen, dass es nicht richtig gespeichert ist.

Wenn die maximale Länge niedrig ist, bedeutet dies, dass der Entwickler Dinge tut, weil sie gut klingen oder weil sie an anderen Orten ausgeführt werden, ohne zu hinterfragen, ob dies eine gute Idee ist. Es zeigt nicht an, dass es im Klartext gespeichert ist. Viele hochkarätige Unternehmen tun dies, darunter Microsoft, Blizzard, meine Bank usw.
Der häufigste Grund, den ich für eine niedrige maximale Länge gesehen habe, ist, dass sie beispielsweise als varchar (15) in der Datenbank gespeichert ist. Es ist möglich, dass es einfach ohne Grund angewendet wird, aber deshalb habe ich gesagt, es ist eher ein Indikator als 100% sicher.
Loko
2015-03-31 21:34:11 UTC
view on stackexchange narkive permalink

Nein nicht. Das Passwort wird wahrscheinlich an die Seite gesendet, auf der es Ihnen angezeigt und gleichzeitig gespeichert wird. Wir können nicht sagen, ob es gehasht ist oder nicht, aber das Anzeigen des Passworts für Sie bedeutet nicht, dass es nicht gehasht ist. Wie die anderen Antworten stimme ich zu, dass es eine schreckliche Idee ist, das Passwort auf der nächsten Seite im Klartext anzuzeigen. Es ist sowieso schlecht, es zu zeigen. Nicht das beste Beispiel, aber was ist, wenn Sie Ihr Passwort geändert haben, wenn Sie (in Ihrem Fall) mit einem Schüler neben Ihnen zusammen sind? Sie sagen ihm, er soll sich umdrehen, während Sie Ihr Passwort eingeben. Sie sagen, Sie haben ihm Ihr Passwort eingegeben, er dreht sich um, die nächste Seite wird geladen und die Person kann nur Ihr Passwort sehen. Mein Freund war in der gleichen Situation und ich sah sein Passwort.

blunders
2015-04-02 19:47:30 UTC
view on stackexchange narkive permalink

Fragen Sie einfach den Administrator.

Ich habe die Erfahrung gemacht, dass er Ihnen sagt, ob er das Passwort im Klartext speichert.

Um Ihre Frage direkt zu beantworten, kann anhand der von Ihnen angegebenen Informationen nicht festgestellt werden, ob das Kennwort (lokal oder remote) im Klartext über diese Sitzung hinaus gespeichert ist.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...