Därför ska en webbplats inte kunna dekryptera ditt lösenord
Om en tjänst kan dekryptera ditt lösenord finns det goda skäl att ifrågasätta hur säkert systemet verkligen är.
Varför dechiffrerbarhet är problematiskt
Ett lösenord är inte ett dokument som en tjänst måste läsa igen senare. För att registrera dig behöver du bara jämföra en säker härledning.
Om en leverantör kan hämta lösenordet finns det alltid en risk att angripare eller interna felkonfigurationer också drar nytta av det.
Hur man känner igen problematiska system
- En tjänst kan skicka ditt gamla lösenord till dig i vanlig text.
- Support eller processer tyder på att det ursprungliga lösenordet är känt.
- Teknisk dokumentation talar om dekryptering snarare än säker lösenordshasning.
Vad användare och operatörer bör lära sig av detta
Användare bör vara särskilt försiktiga med sådana signaler och aldrig återanvända lösenord. Operatörer bör konsekvent ersätta reversibel lagring.
I säkerhetsbedömningar är detta en stark indikation på grundläggande arkitektoniska svagheter.
Snabb överblick
De viktigaste punkterna från artikeln i kort form.
- Återanvänd aldrig lösenord för flera tjänster, särskilt på tvivelaktiga system.
- Använd icke-reversibel lösenordslagring under utveckling.
- Ta varningssignaler som påminnelser med vanlig text eller gamla supportprocesser på allvar.
Vanliga frågor
Skapa ett starkt lösenord nu
Använd Zenkey.clicks generator för att direkt skapa ett starkt slumpmässigt lösenord eller en säker lösenfras.