我最近使用Meebo,我必須承認我有點偏執於將我的IM登錄信息輸入到這樣的網站。他們如何爲每個獨立的IM服務存儲我的用戶名和密碼?當一個網站接受我的密碼並對其執行某種不可逆轉的單向功能時,我只能感覺很舒服,但似乎Meebo必須以我們可以隨時檢索密碼的方式存儲密碼,以便於自動登錄到他們支持的獨立IM服務。我有理由對此有偏見嗎?Meebo等網站如何存儲用戶名和密碼?
編輯: 我發現這個摘自Meebo's privacy policy:
第三方IM服務的用戶名和密碼。 Meebo允許您通過Meebo(「第三方IM服務」)登錄您的帳戶訪問第三方IM服務。爲了訪問您的第三方IM服務帳戶,您必須在Meebo服務上輸入適用的用戶名和密碼。要在網站上使用基本的IM服務,Meebo不會在我們的服務器上存儲您的第三方IM服務帳戶的密碼。 如果您希望利用服務的高級功能,例如自動登錄,則可能需要存儲您的密碼。
Jeff Atwood在本文後面發表了此主題:Please Give Us Your Email Password。
採取音符線2和3。爲了做到#3,Meebo的需要你的密碼; (除非IM提供者和Meebo之間有一些合作(這可能但不太可能)),它在這些行之間的某個點上具有明文密碼。
恭喜,您不再完全控制您的即時通訊賬戶;就IM服務而言,Meebo 是你。
換句話說:你相信Meebo不會濫用你的密碼嗎?你相信Meebo保護你的密碼嗎?你相信Meebo不會被黑客入侵,密碼被盜嗎? 據我所知,沒有辦法告訴(除非你是Meebo,你不是)。
歸結爲:你相信Meebo的承諾嗎?
這是我的$ 0.02:方便嗎?檢查。可怕的不安全?檢查。
哦,並回答標題中的問題:最好的做法是「加密密碼,不要讓明文(不是絕對必要的時間的話)的任何地方」。但是,我看到太多的數據庫都帶有純文本密碼字段;有些企業顯然認爲加密是浪費精力直到出現真正糟糕的情況。 Meebo?我沒有辦法說。
除非他們與每個供應商簽訂合約,他們在這些供應商中創建散列並傳遞散列,他們將需要存儲您的信息。
我認爲這是最有可能的scenerio – djangofan 2009-07-15 17:09:27
是的,你是。
是的他/她是什麼?有理或偏執?哈哈 – 2009-07-15 17:15:19
合理的偏執。我絕不會向社交網站發出密碼。 – 2009-07-15 17:16:49
我希望事實並非如此,這是一種便捷的服務。 – 2009-07-15 17:23:40
是的,你是有道理的。當你把你的用戶名/密碼給一個網站,任何網站時,你真的不知道/保證他們將要做什麼以及他們將如何保護它。
他們解釋了他們如何將數據從瀏覽器發送到服務器;表單提交之前在JavaScript中進行RSA加密。
http://www.meebo.com/security/
編輯:澄清,他們沒有指定他們如何儲存,但據推測它是一個雙向加密,可能與用戶的密碼作爲密鑰?
Meebo將您的個人賬戶密碼與您的meebo賬戶密碼加密。 您的meebo賬戶密碼是bcrypt-ed。所以Meebo的不知道某個密碼,除非你登錄。 http://blog.meebo.com/?p=2220
在meebo blog他們詳細討論他們的安全功能。以下是摘要:
「我們存儲您的[Meebo的]密碼,不是密碼本身的鹽醃哈希。」
「[我們使用] Meebo的帳戶密碼,以暫時解密密碼的IM帳戶。我們只保留解密版本的內存,並且我們在註銷後立即忘記解密版本。「
所以這項服務似乎很安全。如果您想要更安全,請不要使用您的meebo帳戶登錄,而是使用您的即時消息詳細信息登錄。
明文...在Usenet上。 – 2009-07-15 17:18:07