4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全

longye 新闻 2017年5月2日发布
Favorite收藏

导语:Greyhound.com,属于北美最老牌的城际巴士运营商Greyhound所有,1914年成立,网站提供预定和管理行程等功能。

一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。

但是,最近我看到一个网站的账号安全做得实在太糟糕了,让我没法不吐槽。它是Greyhound.com,属于北美最老牌的城际巴士运营商Greyhound所有,1914年成立,网站提供预定和管理行程等功能。这个网站完全没有账号安全意识,允许最少4位密码(包括1234),当用户忘记密码时,网站以邮件明文告知密码。这意味着Greyhound.com在数据库中很大可能没有加密密码,而是以明文形式存储的。

greyhound-password-plaintext-800x466.png

Greyhound.com的找回密码邮件

更糟糕的是,Greyhound.com没有修改密码功能。一旦账号密码泄漏,那么这个账号几乎肯定就是永久性泄漏了,用户没有任何办法。在上周,我向Greyhound官方联络人说明密码哈希存储和密码重置的重要性,并询问对方是否有计划后续改进。对方回复说:

如您所说,我们将在后续规划中解决这些问题。但是需要说明,在我们网站进行购票时,用户的付款信息任何时候都不会泄漏。

这家公司看起来还是不明白,很多用户会在多个网站账号上使用相同密码。以明文形式存储密码,等同于把用户的所有同密码账号都置于险境之中。而且还不提供修改密码的途径,真是神级疏忽。

除非Greyhound官方将这些最基本的安全问题改进,否则在上面的用户信息可能都有危险。建议用户考虑删除Greyhound账号里的所有数据,并将邮件地址改为不存在的邮箱,如formercustomer@example.com。这也是目前唯一能关闭Greyhound账号的方法了。

本文翻译自https://arstechnica.com/security/2017/05/when-it-comes-to-password-security-greyhound-com-is-truly-awful/,如若转载,请注明原文地址: http://www.4hou.com/info/news/4550.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    绚濑绘里 2017-06-23 15:20

    装逼也要遵守基本法啊

    蔡宁宁 2017-05-02 11:58

    有可能,最不安全的模式,恰恰是最安全的(例如前台和后台完全对不上的模式,一个帐号只能用来评论,而且评论经过审核什么的)