每当您在网站上注册时,您都会信任他们的个人详细信息。他们至少可以访问您的电子邮件地址,并且可能还有更多访问权限,当然包括您的密码。
但是您如何确定该网站是否妥善保管了您的私人信息?当网站以明文形式存储帐户详细信息时,为什么会出现问题?那你该怎么办?
什么是纯文本?为什么会出现问题?
纯文本听起来像是这样:您的密码存储的方式与您写下来的完全相同。
假设您使用的网站已被黑客入侵。黑客可以访问带有密码记录的帐户列表。假设您的密码是“ Pa $$ w0rd"(我们真的希望不是)。网络罪犯可以浏览该列表,找到您的电子邮件地址,并轻松读取您的“安全"登录名是“ Pa $$ w0rd"。
最大的问题是,模糊性和猜不到您的密码是。因为拥有您帐户访问权限的任何人都可以阅读它,就像阅读它一样容易。
如果您在多个平台上使用相同的密码,那就更让人担心了。为此,PCPC.me建议不要这样做,所有安全专家也建议不要这样做。尽管如此,我们仍然理解使用容易记住的密码的诱惑。
但是,如果这样做,您将冒着黑客利用泄漏的纯文本源进入您的网上银行帐户,Facebook以及其他任何风险的风险。重复密码。
估计有30%的电子商务网站将其密码以纯文本格式存储。这不是我们容易忽略的事情。
它也不限于小型,独立的网站。一些大型公司被赶上了市场,包括NHL,Match.com,LinkedIn,National Trust和Vodafone。幸运的是,他们此后实施了更安全的存储方法。
如何安全地存储密码?
明文的替代方法是什么?实际上,有一些存储密码的选项,但是并不是所有的密码都像最初听起来那样安全。
许多站点都使用哈希函数,该函数将您的密码转换为另一组数字。如果黑客进入,他们只能看到这些随机字符。但是,这是一个有缺陷的算法,因为每次您输入密码时,它都会生成相同的哈希值。然后,系统将确保这些数字相互关联,以使您可以访问您的帐户。
是的,它们可以被破解,尤其是通过蛮力攻击。
如果您运行电子商务,但是,您应该使用盐渍哈希。它们采用相同的原理,但是在进入哈希算法之前,其他数字会在您的密码后面加上一个数字。
慢散列甚至更好-它们限制了黑客每秒攻击数据集的次数。如果网络罪犯知道他们需要更长的时间才能破解密码,那么他们锁定目标帐户的可能性就较小。
如何判断网站是否将密码存储为纯文本
这很困难告诉您,除非您在相关公司工作。而且,如果这样做,您需要提醒技术团队,以明文形式存储私人数据是不道德的。
不过,有一个很好的指标可以通过。如果您设置了一个帐户,并且该站点向您发送了一封电子邮件,其中列出了您的密码,则该密码很可能以纯文本格式存储。
如果您单击“忘记密码"并将其发送给您,则它们肯定是不安全的。通过电子邮件。如果已加密,他们将无法执行此操作。取而代之的是,您需要验证自己的帐户,然后重新设置密码。
电子邮件还是不安全的。他们容易受到黑客攻击。即使该网站未将您的信息存储为纯文本格式,也不会向您发送详细消息。
如果您想对在线活动对象采取彻底的方法,请在注册时使用占位符密码在线商店。然后单击“丢失我的密码"(或它的变体)并检查您的电子邮件。
否则,如果您可以清楚地在收件箱中看到占位符密码,则这是一个令人担忧的信号。
您还可以检查明文犯罪者(Plaintext Offenders),该站点致力于突出那些对安全性不够重视的公司。
您能做什么?
如果您怀疑某个站点将密码存储在明文,给他们发送电子邮件。要求他们解决您的问题。
您应该听取他们的回音,在这种情况下,他们可能会向您保证他们使用加密来保护您的详细信息。但是,不要让那劝阻你。不要相信加密是万无一失的神话。
Otherwise, we need to talk about damage limitation. Don’t use the same credentials for everything. We know it’s tempting and you probably figure there’s no real harm in it. But you’re wrong. We’re sure a firm you’ve used in the past has been hacked already. That could be MySpace , Tumblr, Dropbox… or a whole host of sites.
通过在我是否拥有密码中输入电子邮件地址来进行检查。
密码管理器是一种保护您的凭据安全而又不必记住所有凭据的巧妙方法。您使用一个安全密码来访问管理员,该管理员将为您了解其余信息。
但是,它们不能帮助您使用纯文本来对抗网站。管理员是一个保护您安全的存储系统,而不是站点的存储系统。如果有人进入您的帐户,您的私人数据仍然可以读取。
尽管如此,您显然对保留私人信息很感兴趣,因此使用密码管理器绝对有好处。
Plaintext密码不安全!
Plaintext仅表示您的密码与您编写的密码完全相同。这是一个问题,因为黑客可以轻松阅读它。一定要仔细阅读凭证转储以及如何保护自己。
在网站上注册后,收到的任何欢迎电子邮件都不应包含密码;如果他们这样做,则表明该帐户使用的是纯文本。如果您单击“忘记了我的密码",然后他们通过电子邮件将实际密码发送给您,那肯定是您的个人信息以不安全的方式持有的迹象。
是否担心网站没有安全地这样做?通过电子邮件将他们的烦恼发送给他们。他们可能向您保证他们使用加密,但是没有任何事情是坚不可摧的。如果没有,请找出信誉良好的网站应如何存储密码并告知他们。