Забытый пароль присылают на почту открытым текстом

Question

[BigD]

Если на каком-то сайте я меняю пароль, и на почту мне приходит уведомление о смене пароля, в котором он указан открытым текстом — означает ли это, что сайт хранит их в недостаточно безопасном виде, и надо держаться от таких сайтов подальше?

Answer 1

[GavriKos]

Если пароль совпадает с вашим старым — это значит что сайт либо не использует шифрования вообще, либо использует тот метод шифрования, который подлежит быстрой обратной дешифровке. Первое — однозначно плохо. Второе — тоже не сильно хорошо — если будет слита база или получен доступ к сайту — получить пароли можно будет легко. В случае же шифрования тем же MD5 — слив базы не гарантирует восстановления именно вашего пароля.

Если пароль не совпадает со старым — значит скорее всего сайт его сгенерировал, отправил вам, зашифровал и уже в зашифрованном виде записал в базу. Хотя вариант с нешифрованием или некачественным шифрование мне исключен.

Comments

[GavriKos]

Держаться подальше или нет — решать вам.

[AxisPod]

Описано всё правильно, но в любом случае я держусь от таких подальше. Но ведь проблема в том, что вы это узнаете только после восстановления пароля.

[GavriKos]

Ну можно тогда проводить аудит критичных сайтов на вот такую дыру +другие известные.

[Максим Мосейчук]

В этом ответе перепутаны понятия. Автор спрашивал про смену пароля, вы же описали восстановление.

Answer 2

[Masterme]

Это значит что нужно в первую очередь пользоваться собственной головой и не использовать одинаковый пароль для двух разных сайтов.

Comments

[GavriKos]

Если онлайн-банкинг будет хранить пароль в открытом виде и не предоставлять двухфакторную авторизацию — то ИМХО все равно уникальный у вас там пароль или нет.

[Masterme]

GavriKos
зачем вы пишете чушь?
если у вас на форуме и в онлайн-банке одинаковый пароль, то админ форума может попробовать войти в вашу банковскую учётку, и у него получится. это далеко не то же самое, что он может попробовать и у него не получится (не смотря на то, что пароль хранится в открытом виде и двухфакторной авторизации нет).
в общем, засуньте своё ИМХО сами знаете куда

[GavriKos]

Какое отношение одинаковость пароля имеет к вопросу? Даже если пароли разные — это не убережет ваш аккаунт от злоумышленников на конкретном сайте с плохим/отсутствующим шифрованием.

[Masterme]

GavriKos
Прямое. Такой кейс наиболее вероятен, чем сниф или MITM-атака.

Сами подумайте. Вы говорите, что шифрованный в БД пароль более криптоустойчив. В КАКОМ СЛУЧАЕ? КОГДА ЗЛОУМЫШЛЕННИК ВЗЛОМАЛ ЦЕЛЕВОЙ РЕСУРС И ВЫКРАЛ БАЗУ ХЕШИРОВАННЫХ ПАРОЛЕЙ? Ололо, целевой ресурс — решето, но зато пароль хеширован. Это сильно добавляет криптоустойчивости, да. Злоумышленник мог скачать всю базу целиком со всей хранимой информацией, с сообщениями, историями операций и т.д., но это не главное. Главное — что он не сможет зайти под нашим логином. Ура, победа!

[Masterme]

Дурачкам, которые минусуют, вопрос:

Хешированный пароль защищает только от одного кейса: когда база паролей похищена. Вы действительно думаете, что сервис, который удалось взломать и выкрать базу паролей, но хешированных, заслуживает большего доверия, чем сервис, который взломать не удалось, но хранящий пароли в открытом виде?

Answer 3

[Masterme]

А ещё нужно менять пароль после получения на почту. Ну, по-моему, об этом каждый школьник знает.

Answer 4

[Петр]

Если этот сайт еще и не шифрует трафик между собой и Вами, то я бы держался от таких сайтов подальше. В свете всего вышеописанного, даже если применяется шифрование на сервере базы с паролями, а Вам его шлют в открытом виде, ничто не мешает просто получить Ваш новый пароль по пути к Вам.

Answer 5

[rozhik]

Я для подобных сайтов использую генератор паролей. Они нигде никогда более не используются. И чувствую себя при этом вполне уверено.