Stránka 1 z 2
Zná server moje heslo ?
Napsal: 04 úno 2016 18:57
od pleh-cp
Nedávno jsem si na jedné stránce nechával obnovovat heslo, protože používám vždy na každou registraci jinou obdobu hesla a často samotné podmínky hesla "moc krátké, moc dlouhé, nepovolené znaky apod." nabourávají můj systém hesel, ale k tomu co mě zajímá.
To hlavní je, že chlápek z podpory znal mé heslo. Vzpoměl jsem si na článek, který jsem někdy, někde četl že správně při obnově hesla by server neměl znát mé heslo a poslat mi náhodně generovaný nebo dočasné zvolené heslo se kterým si zvolim nové heslo?
Tak mě zajímá jak to je.
Re: Zná server moje heslo ?
Napsal: 04 úno 2016 19:06
od faraon
Bezpečnější je, když má server uložený pouze hash, ze kterého původní heslo nejde zrekonstruovat. Pokud ukládají hesla uživatelů přímo, může se k nim dostat každý kdo takový server nabourá, což vzhledem k jejich přístupu k bezpečnosti zřejmě nebude velký problém!
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 11:15
od pleh-cp
Takže pokud tam sedí nějaký pochybný člověk, co k tomu má přístup tak si teoreticky může ukládat emaily, hesla a zkoušet jestli náhodou nejsou stejná jako při registraci na tu stránku.
A jak to dále funguje, když tam je možnost se přihlásit i přes Facebook nebo myID. Té stránce se také uloží hesla zadávaná na Facebook nebo to funguje jinak.
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 11:25
od beather
externí hesla už neuloží, protože nezná heslo na danou službu, pouze mu služba poskytne tvoje údaje...
defaultně se hesla hashují ale někde to funguje tak, že se do databáze uloží pouze heslo jako text... což je smutné
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 13:31
od Eldan
To že by pracovník podpory znal tvoje heslo je věc devadesátých let a né dneška. Jestli tohle někdo dělá, tak pryč od nich. Pár stránek ještě pořád ukládá hesla plaintextově, ale kromě psaní adminum aby to konečně opravili s tím nic nenadelas, takže doporucuju na takovéhle weby používat úplně jiná hesla než všude jinde.
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 13:36
od beather
Eldan píše:To že by pracovník podpory znal tvoje heslo je věc devadesátých let a né dneška. Jestli tohle někdo dělá, tak pryč od nich. Pár stránek ještě pořád ukládá hesla plaintextově, ale kromě psaní adminum aby to konečně opravili s tím nic nenadelas, takže doporucuju na takovéhle weby používat úplně jiná hesla než všude jinde.
no on je problém, že ty nezjistíš, jak oni ty hesla ukládají
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 15:15
od Eldan
Zjistíš, často ti napíšou registrační mail kde ti pošlou heslo v plaintextu :)
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 15:57
od Madara
Ukládat nezašifrovaná hesla do databáze je cesta do pekel.
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 16:06
od WinDroid
Hodně databází má nezašifrovaná hesla. A je to celkem peklo, jakmile je to už něco známějšího tak se v podstatě komukoli jde dostat do účtu.
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 16:10
od beather
ale zase to tak nedramatizujte... už je to trochu přeháňka
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 16:19
od Madara
Není to přeháňka, je to nebezpečné pro všechny zaregistrované uživatele.
Re: Zná server moje heslo ?
Napsal: 11 úno 2016 16:30
od beather
tak se tam neregistrujte...
a všechny "potřebné" weby, na kterých se muší lognout údaje hashují