我最近收到一封来自流行的研究生工作网站 (prospects.ac.uk) 的电子邮件,我有一段时间没有使用过,建议我使用一项新功能。它以纯文本形式包含我的用户名和密码。我认为这意味着他们以纯文本形式存储了我的密码。
我可以做些什么来提高他们的安全性或从他们的系统中完全删除我的详细信息?
更新:感谢大家的建议。我给他们发了电子邮件,说明出了什么问题以及原因,说我会写信给 DP 专员并将它们添加到 plaintextoffenders.com。
一小时后我收到了回复:一条自动消息,其中包含他们支持系统的用户名和密码。哦亲爱的...
除了联系网站并尝试向他们解释以纯文本形式存储(和通过电子邮件发送)密码的想法和做法有多糟糕之外,您实际上无能为力。
您可以做的一件事是将任何违规网站报告给plaintextoffenders.com - 一个列出不同“纯文本违规者”的网站(目前是一个 tumblr 博客,但我们很快就会在一个合适的网站上工作) - 通过电子邮件向您发送您自己的密码的网站,从而暴露了他们要么以纯文本形式存储它,要么使用可逆加密,这同样糟糕。
随着索尼发生的一切,人们一次又一次地意识到存储敏感细节未加密的网站的危险,但许多人仍然没有。报告了 300 多个站点,并且每天都有更多的报告!
希望plaintextoffenders.com 通过暴露越来越多的网站来提供帮助。一旦这在 Twitter 或其他社交媒体上获得足够的关注,有时网站会改变他们的方式并解决问题!例如,Smashing Magazine和Pingdom最近改变了他们处理密码的方式,不再以纯文本形式存储或发送密码!
问题是意识,我希望我们能帮助解决明文违法者的事业。
以明文形式存储密码并不是真正的问题——至少,比在明文电子邮件中发送所述密码要小得多!
这封电子邮件只是证明网站管理员对您委托给他们的信息不是很小心,这是不再委托给他们任何数据的一个很好的理由。
为每个站点使用不同的密码。 这样,当密码被泄露(无论是通过窥探明文电子邮件传输,或者即使具有正确散列/加盐密码的数据库被破解),攻击者将只能在该站点上访问您的帐户,而不是在您拥有类似帐户凭据的所有网站。
...因此您不必记住无数个密码: Stanford 的PwdHash是一个方便的浏览器扩展程序,它通过散列您在站点域中输入的通用密码来自动生成唯一密码。
向他们发送一封电子邮件,要求从他们的数据库中删除。
不要向他们提供更多关于你的信息
确保不要在任何地方使用该密码。