请选择 进入手机版 | 继续访问电脑版
记得收藏【国际动画教程网】,赶快注册吧!
注册

合作站点账号登陆

QQ登录

只需一步,快速开始

扫一扫,访问微社区

快捷导航
查看: 42362|回复: 0
收起左侧

[科技] 4位密码、明文存储、不能修改,但这家美国百年企业说自己很安全[含1P]

[复制链接]
发表于 2017-6-15 01:57:41 | 显示全部楼层 |阅读模式
一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。
但是,最近我看到一个网站的账号安全做得实在太糟糕了,让我没法不吐槽。它是Greyhound.com,属于北美最老牌的城际巴士运营商Greyhound所有,1914年成立,网站提供预定和管理行程等功能。这个网站完全没有账号安全意识,允许最少4位密码(包括1234),当用户忘记密码时,网站以邮件明文告知密码。这意味着Greyhound.com在数据库中很大可能没有加密密码,而是以明文形式存储的。
Greyhound.com的找回密码邮件
更糟糕的是,Greyhound.com没有修改密码功能。一旦账号密码泄漏,那么这个账号几乎肯定就是永久性泄漏了,用户没有任何办法。在上周,我向Greyhound官方联络人说明密码哈希存储和密码重置的重要性,并询问对方是否有计划后续改进。对方回复说:
如您所说,我们将在后续规划中解决这些问题。但是需要说明,在我们网站进行购票时,用户的付款信息任何时候都不会泄漏。
这家公司看起来还是不明白,很多用户会在多个网站账号上使用相同密码。以明文形式存储密码,等同于把用户的所有同密码账号都置于险境之中。而且还不提供修改密码的途径,真是神级疏忽。
除非Greyhound官方将这些最基本的安全问题改进,否则在上面的用户信息可能都有危险。建议用户考虑删除Greyhound账号里的所有数据,并将邮件地址改为不存在的邮箱,如[email protected]。这也是目前唯一能关闭Greyhound账号的方法了。
本文翻译自arstechnica.com/security/2017/05/when-it-comes-to-password-security-greyhound-com-is-truly-awful/,如若转载,请注明原文地址:www.4hou.com/info/news/4550.html



上一篇:中国科大硅谷科技峰会首批嘉宾曝光!
下一篇:iPhone版微信有恢复模式,一键恢复微信数据!支持聊天记录
一起共享资源,共建精品资源平台。记得一定要收藏我们网站。www.gjdhjc.com ||||| 还有我们的网址导航:www.58q8.com【链接失效可以留言看到第一时间补帖,如果懒的回复我也是没办法了】
快速回复 返回顶部 返回列表