Я нашел комментарий к Reddit, в котором говорится, что ProjectLocker, бесплатный хост Git, хранит свои пароли в виде простого текста.
Я не знаю
Может ли это означать, что кому-то будет легко попасть в один из моих личных репозиториев кода?
Я работаю в ProjectLocker, и я хотел бы внести некоторую ясность в эту ветку. Во-первых, чтобы ответить на вопросы ОП:
а) Этот слух не соответствует действительности. ProjectLocker не хранит пароли в открытом виде.
б) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их бэкэнд-системам.
в) Я был бы очень обеспокоен. Тем не менее, я был бы весьма удивлен, обнаружив, что любой из основных хостингов Subversion или сайтов Git хранит незашифрованные пароли. Это просто плохая идея.
Между прочим, весь доступ к Git в ProjectLocker использует аутентификацию с открытым ключом и не использует пароли.
Как уже отмечали другие, ProjectLocker позволяет пользователям восстанавливать утерянные пароли. Мы делаем это путем хранения паролей, зашифрованных с помощью двусторонней функции. (Если вы когда-нибудь установите флажок "сохранить эту карту для дальнейшего использования" на веб-сайте электронной коммерции, ваша кредитная карта будет сохранена таким образом. То же самое касается сайтов подписки, которые периодически выставляют счета, таких как Netflix.) Как правило, мы относимся к паролям как к конфиденциальным данным, таким как кредитные карты или артефакты клиентов (код и т.д.). Есть честные философские дебаты о том, должны ли сайты хранить пароли в извлекаемом формате, но отзывы наших пользователей указали, что они предпочитают извлекаемые пароли.
Что касается поста на Reddit, я могу сказать, что постер никогда не работал в ProjectLocker и не имеет реальных знаний о наших системах аутентификации. Постер, скорее всего, не знаком с двусторонними функциями и ошибочно путает "обратимый" с "открытым текстом".
Наконец, если вы рассматриваете возможность размещения своего кода у третьей стороны и не доверяете их ответам на такой вопрос, вам определенно не следует хранить свой код там. Если вы не доверяете своему хосту, вы не должны использовать их вообще, независимо от того, как они хранят ваш пароль.
Если это так, то это угроза безопасности, поскольку любой, у кого есть доступ (или кто-то может получить доступ каким-либо образом), сможет прочитать ваш пароль.
Вы всегда можете спросить ProjectLocker, является ли комментарий к Reddit верным. Верите ли вы, что их ответ зависит от вас.
Однако я не знаю, правда это или нет.
Один из способов проверить, так ли это, - притвориться, что вы забыли свой пароль. Если хост сообщает вам ваш текущий пароль вместо его сброса и предоставления вам временного пароля, у вас есть доказательство того, что они хранят его в виде открытого текста.
редактировать: комментарий Джошуа прав: это не является окончательным доказательством того, что они хранят ваш пароль в незашифрованном виде, но это доказательство того, что они хранят ваш пароль в обратимом формате.
Наиболее безопасно хранить соленые односторонние хэши паролей. Хэшировать ваши входные данные и сравнивать их с сохраненным хешем тривиально, но для каждого непрактично перепроектировать хеш для получения вашего пароля. Вот почему большинство сайтов посылают вам странный случайный пароль, когда вы его теряете: они больше не знают, какой у вас пароль, поэтому им приходится сбрасывать его на то, что они знают.
Если ProjectLocker хранит ваш пароль в обратимом формате, вам следует проявлять различные степени беспокойства. Недовольные сотрудники - не единственная опасность; если злоумышленник сможет получить дамп базы данных и определить способ декодирования паролей (если он может получить дамп БД, он может получить исходный код), у него будет много паролей. Если вы используете имя пользователя и пароль, которые вы нигде не используете для этого сайта, худшее, что они могут сделать, это испортить вашу учетную запись ProjectLocker. Однако многие люди используют одно и то же имя пользователя и одинаковые пароли для разных веб-сайтов; если вы сделаете это, то хранение пароля в обратимом формате подвергает вас большому риску.
На мой взгляд, если пароль, который вы используете в ProjectLocker, не похож на пароль, который вы используете на других сайтах, вам не стоит слишком беспокоиться. Тем не менее, было бы целесообразно озвучить жалобы с ними, потому что это значительно повышает вероятность того, что небольшая ошибка в безопасности может привести к тому, что кто-то получит доступ к вашей учетной записи.
