Должен ли я беспокоиться о том, что мой провайдер Git-хостинга хранит пароли в виде открытого текста?

Question

Должен ли я беспокоиться о том, что мой провайдер Git-хостинга хранит пароли в виде открытого текста?

1322

S. Michaels 2009-09-25 в 14:25

Я нашел комментарий к Reddit, в котором говорится, что ProjectLocker, бесплатный хост Git, хранит свои пароли в виде простого текста.

Я не знаю

(а) если это правда
(б) как это проверить или
(с) насколько я должен волноваться, если это правильно.

Может ли это означать, что кому-то будет легко попасть в один из моих личных репозиториев кода?

0

Любой, у кого есть доступ к базе данных, чтобы увидеть ваш пароль, независимо от того, хэширован он или нет, вероятно, имеет доступ к чтению вашего личного кода. Phoshi 15 лет назад 0

Фоши: Я тоже так думал. Кто-то, работающий в любой хостинговой компании Git, может, если захочет, заглянуть в код своих пользователей. S. Michaels 15 лет назад 0

Довольно много. Единственная плохая вещь о незашифрованных паролях в том, что если кто-то более злонамеренный попадет в базу данных - это может быть плохо. Phoshi 15 лет назад 0

Было бы здорово, если бы кто-то мог отредактировать заголовок, чтобы не выдвигать ложных обвинений о ProjectLocker. Спасибо! runako 15 лет назад 0

Под названием отредактировано как требуется. И спасибо за ответ на этот вопрос. Я ценю мнение кого-то, кто работает в ProjectLocker. Также я ранее опубликовал дополнительный вопрос, не относящийся к ProjectLocker, чтобы попытаться лучше понять технические аспекты этой проблемы: http://superuser.com/questions/46877/if-a-forgot-your-password-page- письма-ваш-старый пароль-это-что-окончательная пр S. Michaels 15 лет назад 0

3 ответа на вопрос

8

2

ChrisF 2009-09-25 в 14:27

Если это так, то это угроза безопасности, поскольку любой, у кого есть доступ (или кто-то может получить доступ каким-либо образом), сможет прочитать ваш пароль.

Вы всегда можете спросить ProjectLocker, является ли комментарий к Reddit верным. Верите ли вы, что их ответ зависит от вас.

Однако я не знаю, правда это или нет.

О, это относится к тому, могут ли люди с доступом к ProjectLocker читать мой пароль, а не к внешним пользователям. Я неправильно понял, откуда исходит риск. Я думаю, что всегда будет риск того, что сотрудник хостинг-провайдера посмотрит на ваши вещи. Если это не в открытом виде, то я бы предположил, что это сложнее, но все же возможно. Да, я мог бы спросить их, но я не знаю, какой вес я бы дал их заверения. S. Michaels 15 лет назад 0

Тогда возникает вопрос, является ли это безопасное хранение простого текста. ChrisF 15 лет назад 0

Вы имеете в виду, что могут быть разные уровни безопасности даже при использовании простого текстового хранилища? S. Michaels 15 лет назад 0

Конечно, сам файл / база данных может быть защищен паролем, но я больше думал о том, сможет ли кто-то извне получить доступ к базе данных (какими бы то ни было средствами). Учитывая, что это было опубликовано, я бы предположил, что хакеры сейчас пытаются получить доступ. ChrisF 15 лет назад 1

Простой текстовый пароль, хранящийся на мертвых деревьях и зарытый глубоко в хранилище 106 в немаркированном, запертом и защищенном шкафу с табличкой на двери «Осторожно, леопард», более безопасен, чем файл UserPasswords.txt, хранящийся в / var / www / passwords /, например. Grant 15 лет назад 3

@Grant: хороший пример. Спасибо за иллюстрацию. S. Michaels 15 лет назад 0

1

OwenP 2009-09-25 в 15:06

Один из способов проверить, так ли это, - притвориться, что вы забыли свой пароль. Если хост сообщает вам ваш текущий пароль вместо его сброса и предоставления вам временного пароля, у вас есть доказательство того, что они хранят его в виде открытого текста.

редактировать : комментарий Джошуа прав: это не является окончательным доказательством того, что они хранят ваш пароль в незашифрованном виде, но это доказательство того, что они хранят ваш пароль в обратимом формате.

Наиболее безопасно хранить соленые односторонние хэши паролей. Хэшировать ваши входные данные и сравнивать их с сохраненным хешем тривиально, но для каждого непрактично перепроектировать хеш для получения вашего пароля. Вот почему большинство сайтов посылают вам странный случайный пароль, когда вы его теряете: они больше не знают, какой у вас пароль, поэтому им приходится сбрасывать его на то, что они знают.

Если ProjectLocker хранит ваш пароль в обратимом формате, вам следует проявлять различные степени беспокойства. Недовольные сотрудники - не единственная опасность; если злоумышленник сможет получить дамп базы данных и определить способ декодирования паролей (если он может получить дамп БД, он может получить исходный код), у него будет много паролей. Если вы используете имя пользователя и пароль, которые вы нигде не используете для этого сайта, худшее, что они могут сделать, это испортить вашу учетную запись ProjectLocker. Однако многие люди используют одно и то же имя пользователя и одинаковые пароли для разных веб-сайтов; если вы сделаете это, то хранение пароля в обратимом формате подвергает вас большому риску.

На мой взгляд, если пароль, который вы используете в ProjectLocker, не похож на пароль, который вы используете на других сайтах, вам не стоит слишком беспокоиться. Тем не менее, было бы целесообразно озвучить жалобы с ними, потому что это значительно повышает вероятность того, что небольшая ошибка в безопасности может привести к тому, что кто-то получит доступ к вашей учетной записи.

Я всегда любил хранить пароли как хэш, плюс хэш известной строки, плюс хэш случайного числа, основанный на нескольких факторах из данных пользователя. Вероятно, перебор, но все же. Phoshi 15 лет назад 0

Я надеюсь, что эти «несколько факторов» не включают изменяемые пользователем данные. Я бы не хотел, чтобы срок действия моего пароля зависел от номера телефона, который никогда не менялся. Grant 15 лет назад 1

Ну, я подумал, что вам нужен ваш пароль, чтобы фактически изменить любые изменяемые пользователем данные, что не имеет значения, так как я могу обновить его тогда. Phoshi 15 лет назад 0

Хороший тест. Они действительно отправляют вам копию вашего старого пароля по этой ссылке: https://portal.projectlocker.com/login/lost_password S. Michaels 15 лет назад 1

Я бы не сказал, что если ты вернешь его обратно, он будет храниться в виде открытого текста. Они могут использовать шифрование вместо хеширования, что позволит им расшифровать его и отправить вам. Шифрование все еще в некоторой степени безопасно при хранении в базе данных и уязвимо, когда злоумышленник может получить ключ шифрования для чтения паролей. Лично я предпочитаю соленый хэш sha1 прямо сейчас (так как это легко реализовать в javascript, пароль пользователя никогда не передается по проводам). Joshua 15 лет назад 4

Хэширование в js перед отправкой бесполезно - просто означает, что бремя поиска хеша, а не пароля. Rich Bradshaw 15 лет назад 0

Почему бы не отредактировать ответ, чтобы удалить неправильное второе предложение? Зачем аннотировать вместо этого? Понятно, что некоторые люди не понимают двусторонних функций; зачем путать их с информацией, которая окончательно неверна? runako 15 лет назад 0

@Rich Bradshaw: хеширование в JS не защищает пароль на клиентском компьютере, но он предотвращает отправку пароля на сервер в виде открытого текста. Это очень важно для аутентификации по HTTP без SSL. Делая это таким образом, я могу фактически сказать, что моя база данных ** никогда ** не видит фактический пароль. Joshua 15 лет назад 0

Accepted Answer · 2009-09-25 18:20:52

Я работаю в ProjectLocker, и я хотел бы внести некоторую ясность в эту ветку. Во-первых, чтобы ответить на вопросы ОП:

а) Этот слух не соответствует действительности. ProjectLocker не хранит пароли в открытом виде.

б) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их бэкэнд-системам.

в) Я был бы очень обеспокоен. Тем не менее, я был бы весьма удивлен, обнаружив, что любой из основных хостингов Subversion или сайтов Git хранит незашифрованные пароли. Это просто плохая идея.

Между прочим, весь доступ к Git в ProjectLocker использует аутентификацию с открытым ключом и не использует пароли.

Как уже отмечали другие, ProjectLocker позволяет пользователям восстанавливать утерянные пароли. Мы делаем это путем хранения паролей, зашифрованных с помощью двусторонней функции. (Если вы когда-нибудь отметите флажок «сохранить эту карту на потом» на веб-сайте электронной коммерции, ваша кредитная карта будет сохранена таким же образом. То же самое относится и к сайтам подписки, которые периодически выставляют счета, например, Netflix.) В общем, мы рассматриваем пароли как конфиденциальные данные, такие как кредитные карты или артефакты клиентов (код и т. д.). Есть честные философские дебаты о том, должны ли сайты хранить пароли в извлекаемом формате, но отзывы наших пользователей указали, что они предпочитают извлекаемые пароли.

Что касается поста на Reddit, я могу сказать, что постер никогда не работал в ProjectLocker и не имеет реальных знаний о наших системах аутентификации. Постер, скорее всего, не знаком с двусторонними функциями и ошибочно путает «обратимый» с «открытым текстом».

Наконец, если вы планируете разместить свой код у третьих лиц и не доверяете их ответам на такой вопрос, вам определенно не следует хранить там свой код. Если вы не доверяете своему хосту, вы не должны использовать их вообще, независимо от того, как они хранят ваш пароль.

Должен ли я беспокоиться о том, что мой провайдер Git-хостинга хранит пароли в виде открытого текста?

3 ответа на вопрос

Похожие вопросы