rhymsy
2015-09-17 19:51:51 UTC
我有一些域/網站以及Bluehost的電子郵件。每當我需要支持時,他們都需要該帳戶主密碼的後4個字符。他們無法告訴我他們如何存儲密碼,所以我對他們如何安全地存儲我的密碼並仍然看到最後4個字符感到很感興趣。他們會以純文本形式看到完整的密碼嗎?
所有方案都是可能的。
這是一個有信譽的虛擬主機,因此儘管我們不確定它是否以一種聰明的方式完成,但我們可以(可能)假設他們至少在某種程度上安全地這樣做。但是,確實沒有安全的方法來執行此操作。
下次您需要支持時,請給他們其他四位數。正如@Begueradj所說,所有情況都是可能的。這包括安全劇院。
@emory根據安全劇院的數量,有可能故意為他們提供錯誤的4位數字,這可能會導致索取者的帳戶被鎖定。
@immibis好點。打電話給他們,並使用其他用戶的憑據尋求支持。然後,當他們要求最後一個4時,請整理一下。如果他們繼續提供支持,則很有可能他們沒有用於最後四次驗證的系統,並要求將其全部顯示。
@immibis,您的建議是,“任何人”都可以通過簡單地撥打電話並提供錯誤的信息來鎖定另一個人的帳戶?
聽起來,我會將密碼的後四位有效地視為兩因素身份驗證PIN,並構造了一個強健的密碼,而沒有*後四位。 IE,將“正確的馬電池裝訂釘7684”作為密碼。
如果我按照您的描述進行了體驗,那麼我將盡快停止使用Bluehost。
我們絕對不能對@Chipperyman,承擔任何責任。您可能不知道,他們可能擁有龐大的客戶群,並且還會贈送信用卡號。
@emory到底會如何要求您輸入一部分密碼,以示身份?唯一顯示的是它們完全不具備安全性。
@Octopus的方式與在機場脫鞋保護航空的方式相同,向可能或可能無法驗證它們的服務代表記述4位數字可能會“保護” bluehost。某些用戶將不便等同於安全性。給他們他們想要的。
-1
-1
最後四個字符當然是“ 3456”或“ w0rd”或“ apple”
對於所有傳教士來說,這是“不可能的錯誤決定”-從業務角度來看,這可能是一個完全有效的用例。如果他們的密碼數據庫遭到黑客入侵,這將對公司不利。每個用戶都會被告知“違反安全性,請更改您的密碼”-如果他們不安全地存儲4位數字,密碼將更快地被破解。因此,聲譽受損會更高一些,但是由於無論如何這都是低概率的高風險方案,因此對風險預算的總體影響可能確實很小。用戶不會忘記自己的額外代碼的好處可能更大。
作為Bluehost的前僱員,我可以告訴您,他們不知道整個密碼。代理僅在一個框中鍵入密碼的後四位,然後系統將根據文件中的密碼對其進行檢查。如果匹配,它將變為綠色並被記錄,如果不匹配,則將變為紅色並標記該日誌。即使他們確實知道密碼,該員工所做的所有操作都會記錄在該帳戶上,然後可以查看是否假定有任何事情發生。至於密碼和加密的存儲,擊敗了我,但我從未聽說過
@Mansav仍然可以使用的唯一方法是,如果密碼未加密存儲在某個地方。
從技術上講,@Daniel可以具有2個散列,一個散列用於整個密碼,另一個散列用於最後4個字符。它仍然會降低安全性,但不會降低太多。
他們可以將最後4個字符作為單獨的值存儲在數據庫中(以明文或哈希表形式)-從而易於驗證。
他們可以將所有值相乘,然後將它們存儲為純文本格式。當然,這意味著許多密碼都是有效的,但是我認為這是一個很好的妥協。可能會使用除乘法之外的其他方法來獲取哈希,這將導致許多衝突。