我们发生了一起事件,我们的一些经理使用特定公司网站获得了他们监督的人的密码。从表面上看,这样做是为了让管理人员可以检查用户并查看他们正在做他们被指示对这个第三方网站做的事情。
当我发现密码列表被打印出来并提供给管理人员时,我立即认为商业网站上的密码没有以安全的方式存储,并警告用户他们应该立即更改任何密码匹配他们的“一次性”账户;我还担心,作为典型的人类,有许多人在该网站上使用的密码与他们在我们的内部密码系统中使用的密码相同,因此他们不需要记住多个密码。我也很震惊,用户没有被警告他们的密码将被分发给其他人/主管。
我去了有问题的网站并点击了他们的隐私政策链接;它返回了 404 错误。
我是偏执狂吗?
如果管理员能够检索明文密码列表,那么商业网站将其密码明文存储的可能性有多大?
不,你不是偏执狂。密码以明文形式存储在数据库中的可能性非常高(这是最明显的解释)。一些估计表明,30% 的网站以明文形式存储(或已经存储)其用户的密码。示例包括 Reddit.com 或 RockYou.com。通常只有在发生严重违规行为后才会对密码存储过程进行测试。
通常,以明文形式存储密码的网站会在您忘记旧密码后为您提供重新发送旧密码的可能性。这几乎证明了这种不安全的做法。
密码有可能被加密存储并为报告被解密,但这是一种罕见的做法。即使密码被加密,密钥存储也总是存在问题,因为应用程序很可能需要访问解密密钥来验证其用户。
当然,应用程序的正确做法是对密码进行加盐和哈希处理。
问题不在于明文存储密码,而是以任何易于恢复的格式存储密码。清除密码只是最简单的例子。
根据定义,任何可以发送给经理的密码都是可恢复的,谁知道他们还会将您的密码发送给谁呢?
这听起来像是最糟糕的设计之一。经理应该有权查看员工的工作,但这需要网站支持适当的权限模型。管理人员应该能够看到活动日志,但这需要站点支持有用的日志记录级别并具有良好的演示界面。由于这些事情需要工作,他们只是分发了密码。这真的是丛林联盟。
至少该网站在某种意义上是诚实的;他们的隐私政策“未找到”。
他们可能使用非对称加密来存储密码并保持私钥非常安全(管理器保险箱中的 USB 驱动器)并使用公钥作为“散列”将其存储在数据库中的一种方式的一部分并验证它
但实际上谁会想到这样做;在这种情况下,使用真正的哈希或对称加密(几乎和明文一样糟糕)会更容易