"비밀번호를 잊어 버렸습니까?" 페이지가 이전 비밀번호를 이메일로 발송합니다. 비밀번호가 일반 텍스트로 저장되었다는 확실한 증거입니까?

사이트에서 이전 비밀번호를 이메일로 보내면 사이트에서 비밀번호를 재설정해야하는 것과는 달리, 보안 조치에 어떤 의미가 있는지 궁금합니다.

이는 사용자가 편의를 위해 비밀번호를 일반 텍스트로 저장하거나 비밀번호에서 여전히 암호화를 사용할 수 있음을 의미합니까?

암호가 DB에 저장되어있을 때 암호화를 사용하고있을 수 있지만 검색 가능한 형식, 암호화 또는 다른 방식으로 암호를 저장해서는 안됩니다.

그들은 복용해야 단방향 해시 암호 (플러스의 소금을 ). 즉, 사용자가 입력 한 비밀번호가 이전에 입력 한 비밀번호와 일치하는지 확인할 수 있지만 DB에 액세스 할 수있는 일부 크래커는 비밀번호를 알 수 없습니다. 암호를 암호화한다는 것은 크래커가 DB 와 암호화 키 를 찾아야한다는 것을 의미 하지만 웹 사이트를 제공하는 서버에 키가 있어야하기 때문에 생각하기 어렵습니다.

따라서 사용자가 비밀번호를 보낼 수 있으면 잘 알려진 보안 모범 사례를 따르지 않는 것입니다.

이와 같은 나쁜 습관은에 등록하는 모든 웹 사이트에 다른 암호를 사용 하는 좋은 이유입니다 .

이 경우에도 되고 암호화되어 안전한, 그 이메일은 어떠한 방식으로 보안을했다.

당신이 한 가지 할 , 알고 전자 메일을 사용하여이 암호는 이제 거의이다
확실히 많은에서 일반 텍스트로 저장 다른 위치 :

• 에 자신의 메일 서버
• 이메일 제공 업체의 서버에서
• 컴퓨터의 브라우저 또는 이메일 저장 디렉토리
• 도중에 "들어 들인"사람의 하드 드라이브 / 로그
• ... 그리고 아마도 당신과 그 사이트 사이의 모든 인터넷 홉에서.

Dave가 말했듯이 암호화를 사용할 수 있기를 희망하지만 암호를 일반 텍스트로 저장하는 사이트를 보았습니다. 또한 비밀번호를 잊어 버렸습니다 버튼을 눌렀을 때 새로운 임시 비밀번호를 생성 할 수 있으며, 처음 로그인 할 때 변경해야합니다. 결론은 암호를 저장하는 방법을 알지 못하며 사이트를 지원하는 동일한 회사에서 호스팅하지 않는 한 소수의 사람들 만 있으면 원하는 사람에게 물어볼 수 없을 것입니다 그것이 어떻게 저장되는지 알고, 그들이 그것을 알지 못하더라도 그들은 당신에게 말할 것 같지 않습니다.

대답은 '아니오'입니다. 이것은 아무것도 증명하지 않습니다.

어쨌든 암호가 내부에 어떻게 저장되어 있는지 알 방법이 없습니다. 아마도 그들은 mysql과 같은 데이터베이스를 사용하고 있으며 데이터베이스 내부에서 암호화되지 않았을 수 있습니다. 그러나 TrueCrypt 와 같은 암호화 된 미디어에 전체 데이터베이스를 의식적으로 저장하는 것이 가능합니다 . 그들이 당신의 개인 정보를 보호하기 위해 충분한 조치를 취했으면합니다.