一个网站告诉我我的密码已泄露,这是否意味着该网站也不安全?
A website tells me my password is compromised, does this imply the website is also insecure?
我最近登录了一个网站(存储活动和参与者信息的学生 运行 俱乐部网站)。
成功登录后,会出现以下消息,并在我余下的时间里一直关注我:
You are using an insecure password. The password that you entered has
been exposed in at least one data breach.
How do you know my password is insecure? This password appears in a
database of known passwords. Hackers may use this password to try to
break into your accounts.
虽然我很感激我的密码被泄露的通知(并且应该更清楚并且会更改和停止重复使用密码等),但我现在担心这个网站的整体安全性。
我对网络开发知之甚少,但我天真的假设,考虑到这条消息以及它在 登录后出现的事实,我的密码必须有以纯文本形式存储,以便他们能够根据数据库进行检查。这个对吗?或者是否有一些聪明的安全方法可以做到这一点?
仅仅因为您收到来自网站的通知并不意味着您的密码以明文形式存储。无论您使用的是什么网站,都可以在 "Have I Been Pwned" API 中使用您的密码,然后再对其进行加密。这当然并不一定意味着他们正在加密它们,因为没有真正可靠的方法可以知道他们如何存储您的密码,而无需联系所有者,或者如果您稍后会收到一封包含密码的电子邮件在里面。
您可以在 API 上阅读有关密码检查的内容 haveibeenpwned.com/API or you can check for the website you are using in this list here haveibeenpwned.com/API/Consumers。
我最近登录了一个网站(存储活动和参与者信息的学生 运行 俱乐部网站)。
成功登录后,会出现以下消息,并在我余下的时间里一直关注我:
You are using an insecure password. The password that you entered has been exposed in at least one data breach.
How do you know my password is insecure? This password appears in a database of known passwords. Hackers may use this password to try to break into your accounts.
虽然我很感激我的密码被泄露的通知(并且应该更清楚并且会更改和停止重复使用密码等),但我现在担心这个网站的整体安全性。
我对网络开发知之甚少,但我天真的假设,考虑到这条消息以及它在 登录后出现的事实,我的密码必须有以纯文本形式存储,以便他们能够根据数据库进行检查。这个对吗?或者是否有一些聪明的安全方法可以做到这一点?
仅仅因为您收到来自网站的通知并不意味着您的密码以明文形式存储。无论您使用的是什么网站,都可以在 "Have I Been Pwned" API 中使用您的密码,然后再对其进行加密。这当然并不一定意味着他们正在加密它们,因为没有真正可靠的方法可以知道他们如何存储您的密码,而无需联系所有者,或者如果您稍后会收到一封包含密码的电子邮件在里面。
您可以在 API 上阅读有关密码检查的内容 haveibeenpwned.com/API or you can check for the website you are using in this list here haveibeenpwned.com/API/Consumers。