Как узнать, хранит ли сайт пароли в виде открытого текста (и что делать)

Каждый раз, когда вы регистрируетесь на сайте, вы доверяете им свои личные данные. У них есть доступ как минимум к вашему адресу электронной почты, а возможно, и к большему, включая, конечно, ваш пароль.

Но как узнать, что сайт должным образом заботится о вашей личной информации? Почему это проблема, когда сайты хранят данные учетной записи в виде открытого текста? И что с этим делать?

Что такое простой текст? Почему это проблема?

Открытый текст — это именно то, на что он похож: ваш пароль сохраняется в том виде, в каком вы его записываете.

Допустим, сайт, который вы используете, был взломан. У хакера есть доступ к списку учетных записей с записанными паролями. Предположим, ваш пароль — «Pa $$ w0rd» (и мы очень надеемся, что это не так). Злоумышленник может просмотреть список, найти ваш адрес электронной почты и легко прочитать, что ваш «безопасный» логин — «Pa $$ w0rd».

Большая проблема в том, что не имеет значения, насколько непонятен и трудноразличим ваш пароль. Потому что любой, у кого есть доступ к вашей учетной записи, может прочитать это так же легко, как вы это читаете.

Это еще более тревожно, если вы используете один и тот же пароль во всех многочисленные платформы. MakeUseOf советует не делать этого именно по этой причине, как и все эксперты по безопасности. Тем не менее, мы понимаем искушение использовать пароль, который легко запомнить.

Но если вы это сделаете, вы рискуете, что хакеры используют просочившиеся источники открытого текста, чтобы проникнуть в ваши учетные записи онлайн-банкинга, ваш Facebook, и все, на что еще вы дублируете пароль.

Примерно 30 процентов сайтов электронной коммерции хранят свои пароли в виде открытого текста. Это не то, что мы можем легко упустить из виду.

Это не ограничивается небольшими независимыми сайтами. Были пойманы некоторые крупные компании, в том числе NHL, Match.com, LinkedIn, National Trust и Vodafone. К счастью, с тех пор они внедрили более безопасные методы хранения.

Как можно надежно хранить пароли?

Какая альтернатива открытому тексту? На самом деле существует несколько вариантов хранения паролей, но не все они так безопасны, как может показаться на первый взгляд.

Многие сайты используют хеш-функцию, которая преобразует ваш пароль в другой набор цифр. Если хакер попадет внутрь, он сможет увидеть только эти рандомизированные символы.. Однако это ошибочный алгоритм, потому что каждый раз, когда вы вводите пароль, он генерирует один и тот же хэш. Затем система проверяет соответствие этих цифр, чтобы предоставить вам доступ к вашей учетной записи.

И да, они могут быть взломаны, особенно с помощью атак грубой силы.

Однако, если вы запускаете сайт электронной коммерции, вам следует вместо этого использовать соленые хэши. Они основаны на том же принципе, но дополнительные цифры сохраняют ваш пароль до того, как он попадет в алгоритм хеширования.

Медленные хэши еще лучше — они ограничивают количество атак хакера на набор данных в секунду. Если киберпреступник знает, что на взлом пароля у него уйдет больше времени, он с меньшей вероятностью нацеливается на учетную запись.

Как узнать, хранит ли сайт пароли в виде открытого текста

Трудно сказать, если вы не работаете в данной компании. И если вы это сделаете, вам нужно предупредить свою техническую команду, что хранить личные данные в виде открытого текста неэтично.

Тем не менее, вы можете воспользоваться хорошим индикатором. Если вы настраиваете учетную запись, и сайт отправляет вам электронное письмо со списком вашего пароля, скорее всего, он хранится в виде открытого текста.

Они определенно небезопасны, если вы нажмете «Забыли пароль», и они отправят его вам по электронной почте. Если бы он был зашифрован, они бы не смогли этого сделать. Вместо этого вам нужно будет подтвердить, что это ваша учетная запись, а затем полностью сбросить пароль.

Электронная почта в любом случае небезопасна. Они уязвимы для взлома. Даже если сайт не хранит вашу информацию в виде открытого текста, отправка вам подробного сообщения небезопасна.

Если вы хотите тщательно подойти к своим онлайн-активам, используйте пароль-заполнитель при регистрации в интернет-магазине. Затем нажмите «Забыли пароль?» (Или его вариант) и проверьте свою электронную почту. Если единственный вариант — сбросить его, сделайте это.

В противном случае, если вы четко видите свой пароль-заполнитель в папке входящих сообщений, это тревожный знак.

Вы также можете посетить Plaintext Offenders, сайт, посвященный компаниям, которые недостаточно серьезно относятся к вашей безопасности.

Что вы можете с этим сделать?

Если вы подозреваете, что сайт хранит ваш пароль в виде открытого текста, отправьте им электронное письмо. Попросите их ответить на ваши вопросы.

Вы должны получить ответ от них, и в этом случае они, скорее всего, заверит вас, что используют шифрование для защиты ваших данных. Но пусть это вас не расстраивает. Не верьте мифу о том, что шифрование надежно.

В противном случае нам нужно поговорить об ограничении ущерба. Не используйте одни и те же учетные данные для всего. Мы знаем, что это заманчиво, и вы, вероятно, полагаете, что в этом нет никакого вреда. Но ты ошибаешься. Мы уверены, что фирма, которую вы использовали в прошлом, уже взломали. Это может быть MySpace, Tumblr, Dropbox… или целый ряд сайтов.

Проверьте, введя свой адрес электронной почты в Have I Been Pwned.

Защищают ли менеджеры паролей открытый текст?

Менеджеры паролей — это удобный способ сохранить ваши учетные данные в безопасности, не запоминая их все. Вы используете один безопасный пароль для доступа к менеджеру, который знает все остальное за вас.

Но они не помогают бороться с сайтами, использующими открытый текст. Менеджер — это система хранения для вашей безопасности, а не для сайта. Ваши личные данные будут по-прежнему доступны для чтения, если кто-то проникнет в вашу учетную запись.

Тем не менее, вы явно заинтересованы в том, чтобы ваша личная информация оставалась при себе, поэтому использование менеджеров паролей определенно дает преимущества.

Пароли с открытым текстом не защищены!

Открытый текст означает, что ваш пароль сохраняется в том виде, в котором вы его написали. И это проблема, потому что хакеры могут легко его прочитать. Не забудьте прочитать о сбросе учетных данных и о том, как защитить себя.

После регистрации на сайте во всех получаемых вами приветственных письмах не должно быть вашего пароля; если они это сделают, это указывает на учетную запись, использующую открытый текст. Если вы нажмете «Забыли пароль», и они отправят вам фактический пароль по электронной почте, это явный признак того, что ваша личная информация хранится в небезопасном порядке.

Вы обеспокоены тем, что сайт делает это небезопасно? Напишите им о своих заботах. Они могут заверить вас, что используют шифрование, но ничто не может быть взломано. Если нет, узнайте, как авторитетные веб-сайты должны хранить пароли, и сообщайте им.

Оцените статью
cuterful.ru
Добавить комментарий