Zakaj spletna mesta ne bi smela dešifrirati vašega gesla
Če lahko storitev dešifrira gesla, je to rdeča zastavica. Dobri sistemi gesel običajno sploh ne potrebujejo te možnosti.
Zakaj je dešifriranje problematično
Geslo ni dokument, ki ga mora storitev pozneje znova prebrati. Za registracijo morate le primerjati varno izpeljavo.
Če lahko ponudnik pridobi geslo, vedno obstaja tveganje, da bodo imeli od tega korist tudi napadalci ali notranje napačne konfiguracije.
Kako prepoznati problematične sisteme
- Storitev vam lahko pošlje vaše staro geslo v navadnem besedilu.
- Podpora ali procesi kažejo, da je izvirno geslo znano.
- Tehnična dokumentacija govori o dešifriranju in ne o varnem zgoščevanju gesel.
Kaj bi se morali uporabniki in operaterji naučiti iz tega
Uporabniki naj bodo pri takšnih signalih še posebej previdni in nikoli ne uporabijo znova gesel. Operaterji bi morali dosledno zamenjati reverzibilno shranjevanje.
V varnostnih ocenah je to močan pokazatelj temeljnih arhitekturnih pomanjkljivosti.
Hitri kontrolni seznam
Najpomembnejša dejanja iz tega vodnika v strnjeni obliki.
- Nikoli znova ne uporabite gesel v več storitvah, zlasti v dvomljivih sistemih.
- Med razvojem uporabite nepovratno shranjevanje gesel.
- Resno jemljite opozorilne signale, kot so navadni besedilni opomniki ali stari postopki podpore.
Pogosta vprašanja
Zdaj ustvarite močno geslo
Uporabite generator Zenkey.click, da takoj ustvarite močno naključno geslo ali varno geslo.
Kako spletna mesta v resnici shranjujejo gesla?
Če želite nadaljevati, je to naslednji vodnik za branje.
Ugledna spletna mesta ne shranjujejo gesel v navadnem besedilu, temveč kot zgoščene vrednosti z dodatnimi zaščitnimi mehanizmi, kot sta sol in sodobni postopki zgoščevanja gesel.