사이트에서 이전 비밀번호를 이메일로 보내면 사이트에서 비밀번호를 재설정해야하는 것과는 달리, 보안 조치에 어떤 의미가 있는지 궁금합니다.
이는 사용자가 편의를 위해 비밀번호를 일반 텍스트로 저장하거나 비밀번호에서 여전히 암호화를 사용할 수 있음을 의미합니까?
답변
암호가 DB에 저장되어있을 때 암호화를 사용하고있을 수 있지만 검색 가능한 형식, 암호화 또는 다른 방식으로 암호를 저장해서는 안됩니다.
그들은 복용해야 단방향 해시 암호 (플러스의 소금을 ). 즉, 사용자가 입력 한 비밀번호가 이전에 입력 한 비밀번호와 일치하는지 확인할 수 있지만 DB에 액세스 할 수있는 일부 크래커는 비밀번호를 알 수 없습니다. 암호를 암호화한다는 것은 크래커가 DB 와 암호화 키 를 찾아야한다는 것을 의미 하지만 웹 사이트를 제공하는 서버에 키가 있어야하기 때문에 생각하기 어렵습니다.
따라서 사용자가 비밀번호를 보낼 수 있으면 잘 알려진 보안 모범 사례를 따르지 않는 것입니다.
이와 같은 나쁜 습관은에 등록하는 모든 웹 사이트에 다른 암호를 사용 하는 좋은 이유입니다 .
답변
이 경우에도 되고 암호화되어 안전한, 그 이메일은 어떠한 방식으로 보안을했다.
당신이 한 가지 할 , 알고 전자 메일을 사용하여이 암호는 이제 거의이다
확실히 많은에서 일반 텍스트로 저장 다른 위치 :
- 에 자신의 메일 서버
- 이메일 제공 업체의 서버에서
- 컴퓨터의 브라우저 또는 이메일 저장 디렉토리
- 도중에 “들어 들인”사람의 하드 드라이브 / 로그
- … 그리고 아마도 당신과 그 사이트 사이의 모든 인터넷 홉에서.
답변
Dave가 말했듯이 암호화를 사용할 수 있기를 희망하지만 암호를 일반 텍스트로 저장하는 사이트를 보았습니다. 또한 비밀번호를 잊어 버렸습니다 버튼을 눌렀을 때 새로운 임시 비밀번호를 생성 할 수 있으며, 처음 로그인 할 때 변경해야합니다. 결론은 암호를 저장하는 방법을 알지 못하며 사이트를 지원하는 동일한 회사에서 호스팅하지 않는 한 소수의 사람들 만 있으면 원하는 사람에게 물어볼 수 없을 것입니다 그것이 어떻게 저장되는지 알고, 그들이 그것을 알지 못하더라도 그들은 당신에게 말할 것 같지 않습니다.
답변
대답은 ‘아니오’입니다. 이것은 아무것도 증명하지 않습니다.
어쨌든 암호가 내부에 어떻게 저장되어 있는지 알 방법이 없습니다. 아마도 그들은 mysql과 같은 데이터베이스를 사용하고 있으며 데이터베이스 내부에서 암호화되지 않았을 수 있습니다. 그러나 TrueCrypt 와 같은 암호화 된 미디어에 전체 데이터베이스를 의식적으로 저장하는 것이 가능합니다 . 그들이 당신의 개인 정보를 보호하기 위해 충분한 조치를 취했으면합니다.