我的理解是,通常建议网站使用单向加密哈希函数仅存储密码的哈希值。这样,即使有人可以破解数据库,也无法检索密码。 [1]
另一方面,理财网站 Mint要求您输入银行登录信息。大概他们使用它来访问银行信息,因此他们必须能够以可以检索的方式存储密码。然而,我阅读的大多数评论都认为薄荷是安全的[2]。它怎么能是安全的,同时坚持比典型网站更不安全的存储银行密码的做法?
[1]例如,请参阅为什么不使用 3DES 来存储密码?
[2] 例如:Mint 准备好赚钱了吗?.
为什么像 Mint 这样的服务存储银行密码被认为是安全的?
信息安全
密码
密码管理
金融
2021-08-10 19:29:26
1个回答
我们在信息安全中并没有真正使用“X 是安全的”这个概念,因为它不够细致入微。相反,我们有“X 具有 Y 可以接受的风险水平”。
为了让 Mint 工作,他们需要知道您的银行密码,以便他们可以登录您的银行并假装他们是您。所以他们需要存储它们,这增加了风险。
(他们可以做各种事情来保护这些密码。他们可以使用多层加密。他们可以在数据中心拥有良好的物理安全性。他们可以每天进行自我测试。请参阅https://www.mint.com/how -it-works/security/security-technology/用于列表。但是,散列您的凭据是他们不能做的一件事;他们假装是您,而您没有散列您的银行密码,所以他们可以不。)
因此,使用 Mint 会增加风险。您必须确定您是否可以接受增加的风险水平。如果不是,那么您必须采取措施降低风险,这几乎意味着不使用 Mint。