Hvorfor websteder ikke bør dekryptere din adgangskode
Hvis en tjeneste kan dekryptere adgangskoder, er det et rødt flag. Gode adgangskodesystemer burde slet ikke have brug for den mulighed.
Hvorfor dechifrerbarhed er problematisk
En adgangskode er ikke et dokument, som en tjeneste skal læse igen senere. For at registrere dig skal du bare sammenligne en sikker afledning.
Hvis en udbyder kan hente adgangskoden, er der altid risiko for, at angribere eller interne fejlkonfigurationer også vil drage fordel af det.
Sådan genkender du problematiske systemer
- En tjeneste kan sende dig din gamle adgangskode i almindelig tekst.
- Support eller processer tyder på, at den originale adgangskode er kendt.
- Teknisk dokumentation taler om dekryptering snarere end sikker hashing med adgangskoder.
Hvad brugere og operatører bør lære af dette
Brugere bør være særligt forsigtige med sådanne signaler og aldrig genbruge adgangskoder. Operatører bør konsekvent erstatte reversibel opbevaring.
I sikkerhedsvurderinger er dette en stærk indikation af grundlæggende arkitektoniske svagheder.
Kort overblik
De vigtigste punkter fra artiklen i komprimeret form.
- Genbrug aldrig adgangskoder på tværs af flere tjenester, især på tvivlsomme systemer.
- Brug ikke-reversibel adgangskodelagring under udvikling.
- Tag advarselssignaler såsom påmindelser om almindelig tekst eller gamle supportprocesser alvorligt.
Ofte stillede spørgsmål
Lav en stærk adgangskode nu
Brug Zenkey.clicks generator til at lave en stærk tilfældig adgangskode eller en sikker adgangssætning med det samme.