Birçok site, abonelerin şifrelerini görüntüleyemediklerini iddia ediyor. Bu nasıl çalışıyor? Zorunlu mu? [kapalı]


1

Birçok site, abonelerin şifrelerini görüntüleyemediklerini iddia ediyor. Bu nasıl çalışıyor? Kullanıcıların giriş yapmasına izin veren web siteleri için zorunlu mu? Parolaları bu şekilde saklamaya zorlayan herhangi bir protokol veya yasa var mı?

Ayrıca, bu nasıl mümkün olabilir? Kullanıcı şifrelerini şifreli bir biçimde sunucularında saklıyorlar mı?


Yasalar ülkeye bağlı, ABD'nin bir yasası olmadığını biliyorum.
Scott Chamberlain

Anlıyorum. Bu, hepsinin şifreleri görme yeteneğine sahip olmadıklarına dair iddialarına inanmamam gerektiği anlamına mı geliyor?
Selin Peck


Bir dizi şifre sisteminin arızalarını açıklayan ve sitenin orijinal şifreyi bilmesi gerekmeyen bir çözüme ulaşan makale dizimi okumakla ilgilenebilirsiniz. Bkz blogs.msdn.com/b/ericlippert/archive/tags/salt
Eric Lippert

Yanıtlar:


13

Tüm sorumlu şirketler olmalıdır karma şifreleri (sizin tarif ettiğiniz şeyi yapmaya süreci) doğru (yanlış yapmak kolaydır); iddialarına güvenip güvenmediğiniz size kalmış.

Şirketler hakkında bir şeyler yaptıklarını ve yalan söylediklerini söyleyen yasalar var, ancak şifreleri olup olmadıklarını söylemezlerse, PCI DSS ya da diğer yasalar tarafından kapsanmadığı sürece ABD’de yapmak zorunda değiller. HIPPA uyumluluğu.


@ Scott Chamberlain: Yanıtınız için teşekkürler. Parolaları sayı dizgisine dönüştürme sürecine sahip mi, orijinal metinlere geri döndürülemiyor mu (gerçek şifre)? Umarım sormaya çalıştığım şeyi elde edersiniz ..
Selin Peck

Evet bu hassastır, ama “doğru” yapmak için daha çok şey var. 2. bağlantıya bakın.
Scott Chamberlain

@ Scott Chamberlain: Bu tür yasaları uygulayan iki örnek kuruluştan söz ettiniz (PCI DSS ve HIPPA). Sorum şu ki, bir web sitesinin şifrelerle uğraşmak zorunda kalacağı yasaların kapsadığı bir organizasyon altında olup olmadığını nasıl bilebilirim? Bu tür yasaların kapsamına giren ve yüklenen şirketlere verilen bir sertifika, mühür var mı?
Selin Peck

HIPPA, medial kayıtlarla ilgilenen herkesi kapsar (hastaneler, sigorta, vb.) PCI DSS, yalnızca bir şirket kredi kartı bilgilerini topladığında ve elinde tuttuğunda gereklidir (sadece kredi kartı bilgilerini kabul etmek ve bir ödeme işlemcisine aktarmak, PCI kapsamında olmak için yeterli değildir) DSS). Her ikisinin de müşterileri bu yönetmeliklere uyduklarını bildirmesi gerekmez. "Bilmenin" tek yolu, açıkça reklamcılıkta (yanlış reklam yapmak yasa dışıdır) söylerse veya onlara özel olarak sorarsanız ve cevaplarına inanmak için yeterince güveniyorsanız (burada yalan söylemek yasadışı olabilir , bir kötüye danışın)
Scott Chamberlain

1
Gelecekteki okuyuculara not: Amacınız meraktan tatmin etmekse, Scott'ın cevabı elbette doğrudur. Amacınız bu tür bir işlevselliği kendiniz uygulamak ise, doğru yaklaşım uzmanlar tarafından yazılmış bir kimlik doğrulama çerçevesini kullanmaktır. Güvenlik özellikle haklı olmak zordur. Küçük hatalara sahip olmak kolaydır (tüm programlamalarda olduğu gibi), ancak güvenlik hatalarında çok geç olmadan farketme şansınız çok az.
Brian,

3

Bir şifre girip "gönder" düğmesini tıkladığınızda, formu gönderdiğiniz web sitesi şifreyi düz metin olarak alır . Etrafında hiçbir yolu yoktur, HTML böyle çalışır. Alternatif sistemler olduğu için mutlak bir zorunluluk değildir , ancak bildiğim kadarıyla bugün HTML veya tarayıcılarda uygulanmamaktadır.

Bahsedilen,

  1. şifreyi gören web sitesi her zaman oturum açtığınız siteyle aynı değildir - örneğin, Stack Exchange Ağı, kimlik doğrulamasını Google veya Facebook gibi diğer "sağlayıcılara" devretmenin bir yolu olan OpenID kullanır. Bu durumda, seçtiğiniz OpenID sağlayıcınız (örneğin Google) şifrenizi görür ve Stack Exchange kullanmaz.

  2. Bu, giriş anında gerçekleşir; sorumlu web siteleri bir karma hesaplar ve ardından derhal şifreyi atar . Bir karma , giriş yaptıktan sonra art arda orijinali bile geri kazanamadıkları şifrenin bir tür şifreli sürümüdür . Başka bir deyişle, f(p)şifrenin belirli bir işlevini saklar ; Tekrar giriş yapmak istediğinizde, yeni şifrenizi okuyabilir qve kontrol edip f(p)==f(q)edemezler, ancak geri palamazlar f(p)(veya en azından hesaplamanın uygun olmadığı bir problem olarak kabul edilirler).
    Bir web sitesi şifrenizi düz metin olarak size geri gönderdiğinde , örneğin bir e-postadaBüyük kırmızı bayrak , güvenliği sorumlu bir şekilde işlemediklerini Bir kullanıcı olarak, genel olarak, böyle bir şey olmadıkça, düz metin şifrelerini derhal atıp atmadıklarını veya sakladıklarını söylemenin bir yolu yoktur .

  3. Bir web sitesinde oturumunuzu açık tutmanın yöntemi çerezlere dayanır ve düz metin şifrenizi herhangi bir yere kaydetmeniz gerekmez.

  4. Cevaplarımızdan çıkardığınız gibi, parola doğrulaması birçok yönden sorunlu olduğundan, parolaları asla tekrar kullanmamalısınız . En iyi uygulama, rastgele oluşturulmuş şifrelerinizin bilgisayarınızı asla terk etmeyen bir "ana şifre" ile korunduğu bir şifre yöneticisine güvenmektir .


JavaScript kullanılarak alternatif yöntemler uygulanabilir.
reinierpost

@reinierpost iyi nokta - ama böyle bir sistemi uygulayan hiçbir web sitesi bilmiyorum. Olası bir güvenlik kaygısı, web sitesinden javascript kodunu alıyor olmanızdır, bu nedenle bu yöntem "web sitesine güvenmiyorum" sorununu tam olarak çözmez --- benim görüşüme göre hala bir adım ileride olacaktır. tarayıcıda, kimlik doğrulamayı düzgün bir şekilde işleyen ek bir katman gibi güvenlik şartları. HTML5 her şeyi ve bir mutfak lavabosunu içerir, ancak standart bir güvenli alternatif kimlik doğrulama yöntemi değildir. :(
Federico Poloni
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.