Как такие сайты, как Meebo, хранят имена пользователей и пароли?

Question

Как такие сайты, как Meebo, хранят имена пользователей и пароли?

Я недавно использовал Meebo, и должен признать, что я немного параноидален в отношении ввода информации для входа в систему IM на таком сайте. Как они хранят мое имя пользователя и пароль для каждой отдельной службы обмена мгновенными сообщениями? Я чувствую себя комфортно, только когда сайт берет мой пароль и выполняет на нем необратимую одностороннюю функцию, но кажется, что Meebo придется хранить мои пароли таким образом, чтобы они могли восстановить их в любое время, чтобы облегчить автоматический вход в отдельные службы IM, которые они поддерживают. Я оправдан, будучи параноиком по этому поводу?

РЕДАКТИРОВАТЬ: Я нашел этот отрывок из политики конфиденциальности Meebo:

Имена и пароли сторонних сервисов IM. Meebo позволяет получить доступ к сторонним службам обмена мгновенными сообщениями, войдя в свою учетную запись через Meebo ("Сторонние службы мгновенных сообщений"). Чтобы получить доступ к своей учетной записи службы обмена мгновенными сообщениями, вы должны ввести свои соответствующие имена пользователей и пароли в службу Meebo. Чтобы использовать основные службы обмена мгновенными сообщениями на Веб-сайтах, Meebo не хранит пароли ваших учетных записей сторонних служб обмена мгновенными сообщениями на нашем сервере. Если вы хотите использовать расширенные функции Сервисов, такие как автоматический вход, может потребоваться хранение ваших паролей.

Джефф Этвуд опубликовал эту тему некоторое время назад в этой статье: Пожалуйста, дайте нам свой пароль электронной почты.

6

security passwords meebo

Источник

user16460 15 июл '09 в 17:04

7 ответов

Решение

Да, вы.

4

Источник

user52551 15 июл '09 в 17:07

Да, вы оправданы. Когда вы даете свое имя пользователя / пароль для сайта, любого сайта, вы действительно не знаете / не гарантируете, что они собираются с ним делать и как они будут его защищать.

3

Источник

user24195 15 июл '09 в 17:08

Если у них нет контрактов с каждым из поставщиков, в которых они создают хэш и передают только хэш, они должны будут хранить вашу информацию.

2

Источник

user48450 15 июл '09 в 17:07

В блоге meebo они обсуждают свои функции безопасности более подробно. Вот резюме:

"Мы храним соленый хеш вашего [meebo] пароля, а НЕ самого пароля".

"[Мы используем ваш] пароль учетной записи Meebo для временного дешифрования паролей для ваших учетных записей IM. Мы сохраняем только дешифрованную версию в памяти и забываем дешифрованную версию, как только вы выходите из системы".

Так что сервис кажется довольно безопасным. Если вы хотите быть в большей безопасности, не входите в систему под своей учетной записью meebo, вместо этого войдите, используя данные своего чата.

2

Источник

user221742 14 окт '10 в 21:33

Они объясняют, как они отправляют данные из браузера на свои серверы здесь; RSA-шифрование в javascript перед отправкой формы.

http://www.meebo.com/security/

РЕДАКТИРОВАТЬ: разъяснение, они не указывают, как они хранят его, но, вероятно, это двустороннее шифрование, может быть, с паролем пользователя в качестве ключа?

1

Источник

user63488 15 июл '09 в 17:08

Meebo шифрует ваш индивидуальный пароль учетной записи с помощью пароля вашей учетной записи meebo. Ваш пароль к учетной записи meebo - bcrypt-ed. Таким образом, Meebo не знает ни одного вашего пароля, если вы не вошли в систему. http://blog.meebo.com/?p=2220

1

Источник

user421407 02 окт '10 в 15:19

Другие вопросы по тегам security passwords meebo

user19746 15 июл '09 в 19:19 2009-07-15 19:19 · Accepted Answer · 2009-07-15 19:19

Meebo to Piskvor: дайте мне ваш пароль для мгновенного обмена сообщениями, я войду для вас.
Писквор к Meebo: "12345".
Meebo to IM: Привет, я "Писквор"; чтобы доказать это, мой пароль "12345"
IM для Meebo: Здравствуйте, вы действительно "Писквор"; для вас также есть сообщение от пользователя "средний".
Meebo to Piskvor: для вас есть сообщение от пользователя "средний".
(так далее)

Обратите внимание на строки 2 и 3. Для выполнения #3 Meebo нужен ваш пароль; (если не существует какого-либо сотрудничества между провайдером мгновенных сообщений и Meebo (что возможно, но маловероятно)), в какой-то момент между этими строками у вас есть незашифрованный пароль.

Поздравляем, вы больше не имеете полного контроля над своим IM-аккаунтом; что касается службы мгновенных сообщений, Meebo - это вы.

Другими словами: вы доверяете Meebo не злоупотреблять своим паролем? Вы доверяете Meebo для защиты вашего пароля? Вы верите, что Meebo не будет взломан, а ваш пароль украден? Насколько я вижу, нет никакого способа сказать (если вы не Meebo, который вы не).

Это сводится к следующему: доверяете ли вы обещаниям Meebo?

Вот мои $0,02: удобно? Проверьте. Ужасно небезопасно? Проверьте.

Да, и чтобы ответить на вопрос в заголовке: наилучшей практикой будет "зашифровывать пароль, нигде не храните открытый текст (дольше, чем это абсолютно необходимо)". Однако я видел слишком много баз данных с открытыми текстовыми полями паролей; некоторые компании, по-видимому, считают шифрование пустой тратой усилий, пока не произойдет что-то действительно плохое. Есть ли Meebo? У меня нет способа сказать.