我最近登录了一个网站(存储事件和参与者信息的学生经营俱乐部网站)。
成功登录后,会出现以下消息,并在我余下的时间里一直关注我:
You are using an insecure password. The password that you entered has been exposed in at least one data breach.
How do you know my password is insecure? This password appears in a database of known passwords. Hackers may use this password to try to break into your accounts.
虽然我很高兴收到有关我的密码已泄露的通知(并且应该更清楚并会更改和停止重复使用密码等),但我现在担心该网站的整体安全性。
我对网络开发了解不多,但我的天真假设是,考虑到这条消息以及它在登录后 出现的事实,我的密码一定是以纯文本形式存储的让他们能够根据数据库进行检查。它是否正确?或者是否有一些聪明的安全方法可以做到这一点?
最佳答案
仅仅因为您收到来自网站的通知并不意味着您的密码以明文形式存储。无论您使用的是什么网站,都可以在加密之前在“Have I Been Pwned”API 中使用您的密码。这当然并不一定意味着他们正在加密它们,因为没有真正可靠的方法可以知道他们如何存储您的密码,而无需联系所有者,或者如果您稍后会收到一封包含密码的电子邮件在里面。
您可以在此处阅读用于密码检查的 API haveibeenpwned.com/API或者您可以在此处的此列表中查看您正在使用的网站 haveibeenpwned.com/API/Consumers .
关于html - 一个网站告诉我我的密码已泄露,这是否意味着该网站也不安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57995367/