4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全-阿里云开发者社区

开发者社区> 安全> 正文

4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全

简介: 本文讲的是4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全,一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。
本文讲的是4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。

但是,最近我看到一个网站的账号安全做得实在太糟糕了,让我没法不吐槽。它是Greyhound.com,属于北美最老牌的城际巴士运营商Greyhound所有,1914年成立,网站提供预定和管理行程等功能。这个网站完全没有账号安全意识,允许最少4位密码(包括1234),当用户忘记密码时,网站以邮件明文告知密码。这意味着Greyhound.com在数据库中很大可能没有加密密码,而是以明文形式存储的。

4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全

Greyhound.com的找回密码邮件

更糟糕的是,Greyhound.com没有修改密码功能。一旦账号密码泄漏,那么这个账号几乎肯定就是永久性泄漏了,用户没有任何办法。在上周,我向Greyhound官方联络人说明密码哈希存储和密码重置的重要性,并询问对方是否有计划后续改进。对方回复说:

如您所说,我们将在后续规划中解决这些问题。但是需要说明,在我们网站进行购票时,用户的付款信息任何时候都不会泄漏。

这家公司看起来还是不明白,很多用户会在多个网站账号上使用相同密码。以明文形式存储密码,等同于把用户的所有同密码账号都置于险境之中。而且还不提供修改密码的途径,真是神级疏忽。

除非Greyhound官方将这些最基本的安全问题改进,否则在上面的用户信息可能都有危险。建议用户考虑删除Greyhound账号里的所有数据,并将邮件地址改为不存在的邮箱,如formercustomer@example.com。这也是目前唯一能关闭Greyhound账号的方法了。




原文发布时间为:2017年5月2日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章