Zná server moje heslo ?

[pleh-cp]

Nedávno jsem si na jedné stránce nechával obnovovat heslo, protože používám vždy na každou registraci jinou obdobu hesla a často samotné podmínky hesla "moc krátké, moc dlouhé, nepovolené znaky apod." nabourávají můj systém hesel, ale k tomu co mě zajímá.
To hlavní je, že chlápek z podpory znal mé heslo. Vzpoměl jsem si na článek, který jsem někdy, někde četl že správně při obnově hesla by server neměl znát mé heslo a poslat mi náhodně generovaný nebo dočasné zvolené heslo se kterým si zvolim nové heslo?
Tak mě zajímá jak to je.

[Reklama]

[faraon]

Bezpečnější je, když má server uložený pouze hash, ze kterého původní heslo nejde zrekonstruovat. Pokud ukládají hesla uživatelů přímo, může se k nim dostat každý kdo takový server nabourá, což vzhledem k jejich přístupu k bezpečnosti zřejmě nebude velký problém!

[pleh-cp]

Takže pokud tam sedí nějaký pochybný člověk, co k tomu má přístup tak si teoreticky může ukládat emaily, hesla a zkoušet jestli náhodou nejsou stejná jako při registraci na tu stránku.
A jak to dále funguje, když tam je možnost se přihlásit i přes Facebook nebo myID. Té stránce se také uloží hesla zadávaná na Facebook nebo to funguje jinak.

[beather]

externí hesla už neuloží, protože nezná heslo na danou službu, pouze mu služba poskytne tvoje údaje...

defaultně se hesla hashují ale někde to funguje tak, že se do databáze uloží pouze heslo jako text... což je smutné

[Eldan]

To že by pracovník podpory znal tvoje heslo je věc devadesátých let a né dneška. Jestli tohle někdo dělá, tak pryč od nich. Pár stránek ještě pořád ukládá hesla plaintextově, ale kromě psaní adminum aby to konečně opravili s tím nic nenadelas, takže doporucuju na takovéhle weby používat úplně jiná hesla než všude jinde.

[beather]

To že by pracovník podpory znal tvoje heslo je věc devadesátých let a né dneška. Jestli tohle někdo dělá, tak pryč od nich. Pár stránek ještě pořád ukládá hesla plaintextově, ale kromě psaní adminum aby to konečně opravili s tím nic nenadelas, takže doporucuju na takovéhle weby používat úplně jiná hesla než všude jinde.

no on je problém, že ty nezjistíš, jak oni ty hesla ukládají

[Eldan]

Zjistíš, často ti napíšou registrační mail kde ti pošlou heslo v plaintextu :)

[Madara]

Ukládat nezašifrovaná hesla do databáze je cesta do pekel.

[WinDroid]

Hodně databází má nezašifrovaná hesla. A je to celkem peklo, jakmile je to už něco známějšího tak se v podstatě komukoli jde dostat do účtu.

[beather]

ale zase to tak nedramatizujte... už je to trochu přeháňka

[Madara]

Není to přeháňka, je to nebezpečné pro všechny zaregistrované uživatele.

[beather]

tak se tam neregistrujte... a všechny "potřebné" weby, na kterých se muší lognout údaje hashují