Ask a question

Recent Questions

Categories

Back to Question Center
0

Semalt บริษัท สามารถที่จะยกเลิกการใช้รหัสผ่าน?

February 7, 2018
1 answers:

คืนนี้ผมใช้ cSemalt ของเว็บไซต์ที่ฉันเป็นเจ้าภาพและเมื่อฉันไปเปลี่ยนรหัสผ่านฉันได้รับคำเตือนว่าฉันไม่สามารถเปลี่ยนรหัสผ่านไปยังรหัสผ่านที่ต้องการของฉันเพราะมันคล้ายกับรหัสผ่านก่อนหน้านี้ของฉัน.

ตอนนี้เหล่านี้ได้ยกคิ้วของฉันขึ้นทันทีเพราะมันหมายถึงสามารถเปรียบเทียบสตริงของรหัสผ่านใหม่ของฉันกับรหัสผ่านก่อนหน้าพวกเขาจะถูกเก็บไว้ในข้อความธรรมดา (ไม่แน่นอนสำหรับ บริษัท เว็บโฮสติ้ง) หรือเก็บไว้กับอัลกอริทึมที่สามารถ ถอดรหัส (ซึ่งไม่ค่อยดีมาก)?

ปัญหานี้เป็นปัญหาเกี่ยวกับ cSemalt หรือไม่? เมื่อสัปดาห์ที่แล้วฉันลงทะเบียนแผนกับ a. com ที่ใช้ cSemalt และฉันสังเกตเห็นเมื่อฉันป้อนรหัสผ่านของฉันบนหน้าจอถัดไปกล่าวว่ารหัสผ่านของคุณเปลี่ยนไปเป็น "xxxxx" เรียบร้อยแล้ว ฉันไม่ทราบว่าข้อมูลนี้เคยถูกเก็บไว้หรือไม่ แต่ฉันยังไม่ได้ใส่ข้อมูลใด ๆ ในไซต์นี้เนื่องจากความกังวลนี้.

เป็นไปได้ไหมที่พวกเขาใช้เทคโนโลยีการเข้ารหัสเช่น PGP เพื่อถอดรหัสรหัสผ่าน?

ฉันได้ส่งอีเมลถึงทั้งสอง บริษัท ขอความกระจ่างในเรื่องนี้ แต่ฉันกลัวว่าฉันจะได้รับ "บริษัท พูด" กลับจากพวกเขา.

ฉันไม่แน่ใจว่าคำถามนี้ตรงกับ SO ของ Semalt โครงสร้างการรักษาความปลอดภัยรหัสผ่าน แต่เป็นหนึ่งในสิ่งที่สำคัญที่สุดในอินเทอร์เน็ต IMO และหาก บริษัท โฮสติ้งเว็บไซต์ของคุณมีการรักษาความปลอดภัยไม่ดีที่เป็นร้ายแรง ปัญหา Source .

February 7, 2018

ข้อสมมติฐานของคุณเป็นจริง. แต่ไม่ได้มองเข้าไปในรหัส cPanel ตัวเองฉันไม่ทราบว่าสถานการณ์จริงเป็นอย่างไร. อย่างไรก็ตามมีสิ่งที่เรียกว่า การแฮชที่ละเอียดเฉพาะถิ่น .

แตกต่างจากอัลกอริทึมแฮงเอาท์แบบปกติซึ่งคุณต้องการให้มีการเปลี่ยนแปลงน้อยที่สุดในการสร้างความแตกต่างอย่างมากการสร้าง hashing ที่มีผลกระทบเฉพาะถิ่นซึ่งจะสะท้อนถึงความคล้ายคลึงกัน / ระยะห่างระหว่างข้อความที่ไม่ได้ถูกแก้ไข. แต่ฉันไม่เชื่อว่านี่เป็นความหมายที่แท้จริงที่จะใช้เป็นรหัสลับการเข้ารหัสลับ. มักใช้สำหรับการค้นหาความคล้ายคลึงกัน (เช่นการค้นหารูปภาพ).

ประการแรก PGP ใช้เข้ารหัสโดยใช้คีย์ส่วนตัวและคีย์สาธารณะ. ไม่มีอะไรเกี่ยวข้องกับรหัสผ่านหรืออัลกอริทึมที่ใช้ในการเข้ารหัสลับบนเซิร์ฟเวอร์โฮสติ้ง. เป็นไปได้ว่าแฮช MD5 ใช้เพื่อเก็บรหัสผ่าน. อาจมีการจัดเก็บข้อความในรูปแบบข้อความที่ชัดเจนโดยมีเหตุผลเพียงอย่างเดียวเพื่อไม่ให้คุณใช้รหัสผ่านเดียวกันหรือคล้ายกันในอนาคต. บริษัท ให้บริการพื้นที่ของฉันทำให้คุณใช้ตัวพิมพ์ใหญ่ขั้นต่ำ 8 ตัวพิมพ์เล็กและตัวเลข.

ในขณะที่ฉันไม่เห็นด้วยกับ บริษัท ที่ใช้ส่วนต่างๆของรหัสผ่านเพื่อยืนยันว่าคุณเป็นเจ้าของไซต์เมื่อพูดกับฝ่ายสนับสนุน. การปฏิบัติที่ดีกว่า IMO คือการแฮกรหัสผ่านไม่จัดเก็บเวอร์ชันข้อความที่ชัดเจนและหากคุณลืมโทเค็นการใช้งานผ่านของคุณเพื่อให้คุณสามารถเปลี่ยนรหัสผ่านได้. และการจับคู่ md5 hashes จากรหัสผ่านใหม่ไปเป็นรหัสผ่านใหม่ง่ายพอที่จะป้องกันไม่ให้คุณใช้รหัสผ่านเดียวกัน.

ก่อนทำ hashing บริษัท รหัสผ่านสามารถตรวจสอบว่าคุณได้ทำตามข้อกำหนดขั้นต่ำของอักขระและชนิด.

ถ้า บริษัท กำลังใช้ cPanel คุณจะไม่พบรูปแบบใด ๆ ในอัลกอริทึมรหัสผ่าน. คุณสามารถดู GoDaddy และอื่น ๆ ที่มีแผงควบคุมของตนเองได้.

บางทีพวกเขากำลังจัดเก็บ hashes ส่วนของรหัสผ่านของคุณ. ที่อาจช่วยให้พวกเขาสามารถตรวจจับความคล้ายคลึงกันได้โดยไม่ต้องเก็บรหัสผ่านหรือส่วนใด ๆ ของคุณเป็นข้อความสั้น ๆ แต่ฉันคิดว่ายังเป็นการเอาชนะความปลอดภัยของการแฮ็กรหัสผ่านอย่างน้อยบ้าง.

ดูเหมือนว่ารหัสผ่านของคุณจะไม่สามารถย้อนกลับได้ซึ่งเป็นวิธีที่ไม่ดี.

หวังว่ารหัสผ่านของคุณจะได้รับการเข้ารหัสอย่างน้อย แต่ก็ไม่ควรที่จะนับ.

ดีที่คุณชี้ไปที่เว็บโฮสต์ของคุณ!