Многие сайты утверждают, что они не способны просматривать пароли подписчиков. Как это работает? Это обязательно для сайтов, которые позволяют пользователям войти в систему? Существуют ли какие-либо протоколы или законы, которые обязывают их хранить пароли таким образом?
Кроме того, как это возможно? Хранят ли они пароли пользователей на своих серверах в зашифрованном формате?
Все ответственные компании должны правильно хэшировать (процесс, чтобы сделать то, что вы описываете) пароли (это легко сделать неправильно); это зависит от вас, доверяете ли вы их претензиям.
Существуют законы о компаниях, которые говорят, что они что-то делают, и лгут об этом, но если они не говорят, хэшируют ли они пароли, они не будут вынуждены делать это в США, если на это не распространяются другие законы, такие как PCI DSS или HIPPA соответствие.
Когда вы вводите пароль и нажимаете кнопку "отправить", веб-сайт, на который вы отправляете форму, получает пароль в виде простого текста. Обойти это невозможно, так работает HTML. Это не является абсолютной необходимостью, поскольку существуют альтернативные системы, но, насколько я знаю, они не реализованы в HTML или браузерах сегодня.
Это сказало,
веб-сайт, на котором виден пароль, не всегда совпадает с сайтом, в который вы входите - например, сеть Stack Exchange использует OpenID, что по сути является способом делегирования аутентификации другим "поставщикам", таким как Google или Facebook. В этом случае выбранный вами поставщик OpenID (например, Google) видит ваш пароль, а Stack Exchange - нет.
Это происходит в момент входа в систему; ответственные веб-сайты вычисляют хэш, а затем немедленно сбрасывают пароль. Хеш - это своего рода зашифрованная версия пароля, из которой даже они не могут восстановить оригинал в последующий момент после того, как вы вошли в систему. Другими словами, они хранят определенную функцию f(p) пароля; когда вы захотите снова войти в систему, они могут прочитать ваш новый пароль q и проверить, есть ли f(p)==f(q) , но они не могут вернуть p из f(p) (или, по крайней мере, это считается вычислительно невыполнимая задача для этого).
Всякий раз, когда веб-сайт отправляет вам ваш пароль в виде простого текста, например, по электронной почте, это большой красный флажок, что они не несут ответственности за безопасность. Тем не менее, как пользователь, в общем, вы не можете сказать, выбрасывают ли они немедленно пароли в виде простого текста или сохраняют их, если только не произойдет что-то подобное.
Метод сохранения вашей регистрации на веб-сайте основан на использовании файлов cookie и не требует хранения вашего открытого текста в любом месте.
Из наших ответов вы можете сделать вывод, что проверка подлинности пароля во многих отношениях проблематична, поэтому вам никогда не следует повторно использовать пароли. Лучше всего полагаться на менеджер паролей , где ваши случайно сгенерированные пароли защищены «мастер-паролем», который никогда не покидает ваш компьютер.
