3

Я уже давно использую сгенерированные пароли. Я генерирую соль, затем некоторую входную информацию и генерирую что-то взамен. На большом банковском веб-сайте я использовал такую схему паролей и недавно заметил, что не могу войти в систему. Судя по всему, они урезали длину паролей с 32 до 31, а теперь и 30 символов.

Мой вопрос заключается в том, что если они усекают пароли, то единственный способ, которым они могли бы урезать ваш пароль должным образом, - это если они не запускали его с помощью одностороннего алгоритма хеширования для безопасного хранения пароля. Это означает, что они либо хранят пароль в виде простого текста, либо используют слабую схему для кодирования пароля.

Я рассматриваю возможность удаления своей учетной записи с ними по очевидным причинам безопасности и общей небрежности к очевидным методам безопасности.

Я ошибаюсь в своих предположениях, я не математик и не специалист по информатике.

Вальтер

|источник

3 ответа3

3

Удалось ли вам войти, просто сняв символ с пароля, или вам пришлось его менять?

Если ответ «да», я думаю, что наиболее вероятно, что они хранятся в виде простого текста или слабого шифрования.

Если ответ «нет», они просто изменили политику - ваша больше не соответствует и больше не работает ...

Тем не менее, особенно если у вас разные пароли для разных сайтов, я бы не стал менять их только из-за этого - если они когда-нибудь будут взломаны или похожи, они не будут противостоять вам… Однако, похоже, что вы очень осторожны с безопасностью, поэтому изменение может быть единственным способом, чтобы вы чувствовали себя в безопасности!

|источник
3

Возможно, они не усекли ваш пароль в базе данных, это может быть предварительная проверка длины строки перед ее проверкой.

Однако, если вы смогли войти, набрав первые 31 (или 30) символов, то он должен был бы быть сохранен в виде открытого текста.

|источник
2

Если это большой банк США, я могу почти гарантировать, что он "надежно" хранится, поскольку существуют законы и правила для банков ... Однако это не так много значит.

Самый простой способ узнать, хранит ли сайт пароль в открытом виде или нет, - это восстановить / сбросить его пароль. Если сайт может отослать вам ваш пароль обратно, он хранится в виде открытого текста или не использует односторонний хэш. Если они заставят вас сбросить пароль или восстановить его с помощью временного пароля, то, скорее всего, будет использоваться хеш.

Как сказано выше, ОЧЕНЬ возможно, чтобы текстовое поле усекало строку до 30 символов, или алгоритм хеширования урезал ее ДО того, как она была хеширована. Иногда разработчик делает глупые вещи, такие как сделать поля пароля только 30 символами, потому что кто бы мог иметь пароль дольше, чем этот? = Р

ПОБОЧНОЕ ПРИМЕЧАНИЕ: Если вы чувствуете, что ваш банк не защищен или ненадежен, переключитесь на банк, который вам удобен. Я предлагаю это, потому что вы, вероятно, никогда не узнаете ответ на этот вопрос.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .