Почему веб-сайтам не нужен ваш пароль

Общеизвестно, что веб-сайт, такой как PayPal или eBay, никогда не запрашивает ваш пароль. Им это не нужно, но мы редко слышим о том, почему это так. На самом деле есть несколько возможностей.

Обратите внимание: если вы когда-нибудь получите электронное письмо с запросом вашего имени пользователя и пароля, это фишинг для этого. Смотрите наши советы по защите от фишинга несколько советов о том, как защитить себя. Также есть блок-схема фишинга чтобы помочь вам определить фишинг. В дополнение к этому Gmail есть лаборатория который будет проверять электронную почту PayPal и eBay.

Веб-сайты уже имеют это

Хотелось бы надеяться, что пароли зашифрованы и хранятся вне досягаемости, но это не всегда так. Во многих системах о безопасности думают позже. Иногда политики и программы безопасности считаются необходимыми только после взлома. Важная информация о клиентах не всегда защищена должным образом.

В такой системе ваш пароль не может быть зашифрован. Он может храниться в виде обычного текста (иногда называемого «открытым текстом»). Также могут отсутствовать надлежащие средства контроля доступа.

Благодаря такому легкому доступу к логинам и паролям никому из компании не нужно их спрашивать. Компания или несколько сотрудников в ней имеют к ним доступ. Это одна из причин, почему на разных сайтах важно использовать разные пароли.

Персонал верхнего уровня может иметь доступ

Система с хорошей безопасностью зашифрует ваши пароли. Даже если бы его получил кто-то, кто не должен был иметь доступ к файлу, содержащему пароли, это выглядело бы тарабарщиной. Есть способы обойти это при определенных обстоятельствах, но в целом шифрование не позволяет людям читать информацию о клиентах.

Тем не менее, наверху будут люди, у которых будет доступ к ключу, который может расшифровать пароли. Если возникнет законная потребность в информации, например, постановление суда, тогда будет задействовано высокопоставленное должностное лицо компании, а не вы.

Dropbox не имеет прямого отношения к паролям, но работает аналогичным образом. Все данные, которые хранит Dropbox, зашифрованы, защищены от несанкционированного использования сотрудниками и другими лицами. Высшее руководство может получить доступ к данным, но только при особых обстоятельствах. Oни может дать доступ к властям, но это должно быть по решению суда. Это пример того, как зашифрованная система все еще контролируется кем-то в компании.

Ваш пароль не может быть сохранен дословно

Некоторые сайты и системы могут использовать хитрость для входа в систему. Вы можете подумать, что при входе в систему сервер сравнивает имя пользователя и пароль, которые вы отправляете, с зарегистрированным именем пользователя и паролем. Это не всегда так.

Некоторые системы используют ваш пароль и случайное число, помещают их в формулу и получают сумасшедший код букв, цифр и символов. Этот код практически полностью уникален для вашего пароля. Сайт хранит этот код и случайное число.

практически совершенно уникальный
http://blogs.msdn.com/b/tomarcher/archive/2006/05/10/are-hash-codes-unique.aspx

В отличие от шифрования, где пароль может быть получен при использовании ключа, созданный код не может быть разблокирован, чтобы раскрыть ваш пароль. Это односторонний процесс, призванный сделать ваш пароль нечитаемым. Подобрать пароль по коду сложно. Суть такой системы в том, что они не хотят знать ваш пароль.

При повторном входе в систему вы отправляете свое имя пользователя и пароль. Система берет отправленный вами пароль, возвращает его и случайное число в формулу и снова формирует сумасшедший код. Затем он сравнивает этот код с кодом в файле. Если они совпадают, вы можете войти; если они не совпадают, вы получите ошибку. Вуаля, войдите без сохраненного пароля.

У безумного кода есть особое имя: хеш-значение. Sony раскрыла использование хеш-значений после того, как хакеры взломали сеть Play Station.

Система может принудительно перезагружаться

Некоторые системы предоставляют ИТ-персоналу ограниченные инструменты (в зависимости от политики, доступа или дизайна). В таких случаях единственный доступный инструмент — это сброс пароля. Это сделано для решения частой проблемы с утерянными паролями. Пароли можно безопасно зашифровать или хешировать, но доступ можно легко восстановить.

Facebook использует эта система. Сначала вы должны сообщить сайту что-то о себе, но после этого он сбросит ваш пароль. Это автоматизирует процесс, поэтому вам не придется ждать технической поддержки.

facebook идентифицировать аккаунт

Многие функции не требуют ввода пароля

В большинстве систем сотрудник входит в систему, проверяется системой и имеет соответствующий доступ для той роли, которую он играет в компании. Программное обеспечение, которое они используют, может изменять вашу контактную информацию, остатки на счетах, срок службы, просматривать вашу историю с компанией и т.д. Черт возьми, иногда они могут полностью удалить вас. Подумайте, как кассир банка может списать деньги с вашего счета, когда вы попросите наличные. Безусловно, их имя пользователя и пароль важнее вашего имени пользователя и пароля. Нет ничего законного, для чего банку может понадобиться ваш пароль.

В итоге

Как было заявлено всеми уважаемыми компаниями, нет причин сообщать кому-либо свой пароль. Компания никогда не будет запрашивать ваше имя пользователя или пароль. Эти случаи питаются невежеством. Если вы знаете кого-то, кто, по вашему мнению, может упасть на такую ​​уловку, обучите его. У них будет меньше шансов разгласить информацию, если они знают, почему она никогда не нужна.