本文讲的是4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全,一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。
但是,最近我看到一个网站的账号安全做得实在太糟糕了,让我没法不吐槽。它是Greyhound.com,属于北美最老牌的城际巴士运营商Greyhound所有,1914年成立,网站提供预定和管理行程等功能。这个网站完全没有账号安全意识,允许最少4位密码(包括1234),当用户忘记密码时,网站以邮件明文告知密码。这意味着Greyhound.com在数据库中很大可能没有加密密码,而是以明文形式存储的。
Greyhound.com的找回密码邮件
更糟糕的是,Greyhound.com没有修改密码功能。一旦账号密码泄漏,那么这个账号几乎肯定就是永久性泄漏了,用户没有任何办法。在上周,我向Greyhound官方联络人说明密码哈希存储和密码重置的重要性,并询问对方是否有计划后续改进。对方回复说:
如您所说,我们将在后续规划中解决这些问题。但是需要说明,在我们网站进行购票时,用户的付款信息任何时候都不会泄漏。
这家公司看起来还是不明白,很多用户会在多个网站账号上使用相同密码。以明文形式存储密码,等同于把用户的所有同密码账号都置于险境之中。而且还不提供修改密码的途径,真是神级疏忽。
除非Greyhound官方将这些最基本的安全问题改进,否则在上面的用户信息可能都有危险。建议用户考虑删除Greyhound账号里的所有数据,并将邮件地址改为不存在的邮箱,如formercustomer@example.com。这也是目前唯一能关闭Greyhound账号的方法了。
原文发布时间为:2017年5月2日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。