Правда ли то, что например сайт или сервис електронной почты не имеют доступа к паролям?

Question

[MisterVerstalschyk]

Например, есть такие компание, которые утверждают, что они не имеют доступа к паролям. Возможно ли такое? У них же есть доступ к серверу и базам данных...

Comments

[rrambo]

К каким именно паролям? который на доступе к ящику по imap/pop3 ? скорее всего не имеют, он же там хешированный лежит. Ставьте туда уникальный пароль и все. а так хостинг компания и без паролей имеет прямой доступ к содержимому ваших ящиков, если нужно будет

Answer 1

[Армянское Радио]

Теоретически, это можно сделать, если хешировать/солить ваш пароль на клиенте и не передавать на сервер.
Практически, это все равно остается вопросом доверия между вами и сайтом - сегодня они не передают пароль при авторизации, завтра фронтенд Василий шото напутал, и пароль улетел не только в базу сайта, но и к кампании, которая предоставляет аудит пользовательских метрик.

Comments

[Дядька Серёжа]

Вообще хеширование на клиенте это CWE-836, с другой стороны для мобилок это оправдано если соль уникальна для каждого юзера, вычисляется из пина или пароля, хранится в keychain/keystore

[Армянское Радио]

Дядька Серёжа, понятно, что на сервере этот хеш нужно досаливать еще раз, а для передачи использовать HTTPS, важен принцип - что сам plaintext пароля никуда с машины пользователя не уходит

Answer 2

[Сергей Карбивничий]

Вам никто кроме них не ответит на вопрос.

Answer 3

[Drno]

А зачем им доступ к паролям, когда и без них можно посмотреть вашу инфу?))

Обычно не имеют

Answer 4

[LeraWoolf]

Если в коде нет фрагментов передачи паролей пользователя на сервер, то тогда пароль пользователя знает только пользователь. А в бд пароли и логины хранятся, иначе бы вы не вошли в аккаунт

Comments

[hint000]

А в бд пароли и логины хранятся, иначе бы вы не вошли в аккаунт

Во-первых, входить в аккаунт можно и в том случае, когда никакого пароля вообще не используется (есть другие варианты аутентификации). Во-вторых, при парольной аутентификации можно хранить в БД хеш пароля, а не сам пароль.

[Александр Фалалеев]

Могут иметь а могут и не иметь.

Например:

ISPManager > Учётные записи > Почтовые ящики > Изменить > В чекбоксе "Пароль" нажать на картинку закрытого глаза - он откроется и пароль станет виден :)