Prečo by webové stránky nemali dešifrovať vaše heslo
Ak služba dokáže dešifrovať heslá, je to varovanie. Dobré systémy hesiel zvyčajne túto schopnosť vôbec nepotrebujú.
Prečo je dešifrovanie problematické
Heslo nie je dokument, ktorý si služba musí neskôr znova prečítať. Na registráciu stačí porovnať bezpečnú deriváciu.
Ak sa poskytovateľovi podarí získať heslo, vždy existuje riziko, že z toho budú mať prospech aj útočníci alebo interná nesprávna konfigurácia.
Ako rozpoznať problematické systémy
- Služba vám môže poslať vaše staré heslo ako obyčajný text.
- Podpora alebo procesy naznačujú, že pôvodné heslo je známe.
- Technická dokumentácia hovorí skôr o dešifrovaní ako o bezpečnom hashovaní hesla.
Čo by sa z toho mali naučiť používatelia a operátori
Používatelia by mali byť pri takýchto signáloch obzvlášť opatrní a nikdy nepoužívať heslá. Operátori by mali dôsledne nahrádzať reverzibilné úložiská.
Pri hodnotení bezpečnosti je to silný náznak základných architektonických nedostatkov.
Rýchly kontrolný zoznam
Najdôležitejšie akcie z tejto príručky v kompaktnej forme.
- Nikdy znova nepoužívajte heslá vo viacerých službách, najmä na pochybných systémoch.
- Počas vývoja používajte nevratné úložisko hesiel.
- Berte varovné signály, ako sú pripomenutia vo forme obyčajného textu alebo staré procesy podpory, vážne.
Časté otázky
Vytvorte si teraz silné heslo
Použite generátor Zenkey.click na okamžité vytvorenie silného náhodného hesla alebo bezpečnej prístupovej frázy.
Ako webové stránky skutočne ukladajú heslá?
Ak chcete pokračovať, toto je ďalšia príručka, ktorú si môžete prečítať.
Renomované webové stránky neukladajú heslá vo forme obyčajného textu, ale skôr ako hašované hodnoty s dodatočnými ochrannými mechanizmami, ako je soľ a moderné postupy hashovania hesiel.