PTT推薦

[請益] 直接把密碼寄給使用者算不算資安問題啊?

看板Soft_Job標題[請益] 直接把密碼寄給使用者算不算資安問題啊?作者
Deltaguita
(貝里斯)
時間推噓37 推:37 噓:0 →:55

各位大大好:

我發現在嚴重特殊傳染性肺炎企業紓困的網站

https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx

只要輸入統一編號、聯絡人、電子信箱就會直接把密碼以明碼的形式寄到信箱。
(而且是舊密碼)

我印象密碼是不能以明碼方式儲存的,而且直接以明碼寄送更是不可以

不知道這個該去哪裡反應? 算嚴重的資安問題嗎?

https://upload.cc/i1/2021/06/16/HDzali.png

圖 直接把密碼寄給使用者算不算資安問題啊?


--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.217.102 (臺灣)
PTT 網址
※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 09:12:22

play71406/16 09:12it 天才唐鳳你敢嘴?

Deltaguita06/16 09:17不一定是唐鳳弄的吧,我覺得他已經不會實做到這麼細的

Deltaguita06/16 09:18功能了

umum2906/16 09:24這個是外包的嗎?可以這樣設計喔?

alihue06/16 09:28秘密不能以明碼存? chrome 密碼自動填入表示:

Deltaguita06/16 09:42chrome 用起來也是有點怕怕的呢

taipoo06/16 09:47唐鳳設計的系統跟現實社會脫節太多了

Deltaguita06/16 09:48我覺得你們一直cue他,晚點他來回覆留言的機會很高...

x00003200106/16 09:50chrome至少有加密過好嗎

abccbaandy06/16 10:05chrome一定要有你的密碼阿,不然怎麼輸入?

abccbaandy06/16 10:06另外如果他傳給你的密碼不是你當初設定的,也許是安全

abccbaandy06/16 10:06

是當初設定的喔

alihue06/16 10:10誰不知道 chrome 有加密,但原文意思是說密碼要用 hash

alihue06/16 10:10

印象中儲存跟傳輸都不應該明碼吧? 而且要以不可逆的方式hash,我看電商或是大型網站通常是搭配二階段驗證然後給一個 連結讓使用者重新設定一組密碼

bill020506/16 10:20八成是腦殘官員要求的....

bill020506/16 10:22明碼傳送不見得是原始密碼 如果是才要怕

是當初設定的喔

k79897686906/16 10:22確實有點怪

bill020506/16 10:23以前就真的愈過高官要求要寄明碼到信箱 但被主管反駁回

bill020506/16 10:23

ChungLi556606/16 10:35是 密碼應該要單獨寄 不能跟登入帳號一起

這樣是有好一點點,但還是怪怪的XD

kuso051606/16 10:35chrome的存密碼跟網站存使用者的密碼是兩回事....

YahooTaiwan06/16 10:39資安議題通常都是出問題再說啦,能用就好

※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 10:56:33

realbout06/16 10:49密碼不能查詢 只能叫忘記密碼 臨時登入後強制改

IMPOSSIBLEr06/16 11:04chrome的存密碼應該是存在客戶端(希望啦),密碼

IMPOSSIBLEr06/16 11:04不應該可以取回應該是直接重設。

godddddd06/16 11:15痾...驗證後 給一個亂數密碼 請他進去後再修改 比較好吧

HKCs06/16 11:16Google都說2FA才是正道了 搞一堆限制 根本是在防止使用者記

HKCs06/16 11:16起來

ChungLi556606/16 11:21要推數位化的話應該順便推無密碼的FIDO

wahaha27906/16 11:29如果要求登入就改密碼就是合理的,但如果沒有

Deltaguita06/16 11:34即便要求馬上改也不太合適,因為很多人都共用一組...

petercoin06/16 12:01Google的存密碼一定有上網啦...不然怎麼跨裝置用

za75518806/16 12:06他寄新密碼給你 還是你的舊密碼阿?

Deltaguita06/16 12:17舊密碼

ctrlbreak06/16 12:21舊密碼? 現在還有人這樣做喔 XD

abccbaandy06/16 12:44那這很嚴重,可以上新聞了...可惜記者應該看不懂這篇

Deltaguita06/16 13:20上新聞也還好,一般民眾根本不理解問題在哪裡

shooter55506/16 13:35一個factor auth不夠安全 就用兩個 兩個不夠就三個

theedge06/16 14:53推文好精彩 抓到一堆人密碼明文放db齁

theedge06/16 14:53那間公司報一下 準備進攻囉

bill020506/16 15:45原始設定哦.....那真的很可怕

gs861378906/16 15:502FA才是正解

yc001513906/16 15:50這讓我想到某公司忘記密碼是用簡訊寄明碼 怕

za75518806/16 16:14舊密碼...這個就 如果其他地方有相同密碼的話 趕快改吧

za75518806/16 16:15這種網站八成都外包 隨便做做也是不意外

alihue06/16 16:47Google 不可能只放 client ,有同步

for556606/16 16:51如果是新戶的話,他可能是產生暫用密碼,加密存資料庫之

for556606/16 16:51前寄給你,不代表沒有加密。如果機忘記密碼他還能寄明碼

for556606/16 16:51給你才是有問題

pig2202206/16 16:56理論上DB不能存明碼,能夠decrypt 也是很瞎

alihue06/16 17:07其實更可怕的是,下載 edge 可以從 chrome 匯入,包含密

alihue06/16 17:07碼的自動完成

kurtsgm06/16 17:10新密碼還算可以 舊密碼就不太行惹....

kurtsgm06/16 17:10如果是新密碼的話 的確有可能先產生 寄信 然後才hash入DB

hduek15306/16 18:09chrome那個是方便性 你可以決定要不要用 但是這個你不

hduek15306/16 18:09能決定阿

lturtsamuel06/16 18:10是預設的亂碼密碼就沒差吧

lturtsamuel06/16 18:11是舊密碼喔XDD 公部門水準不意外

lturtsamuel06/16 18:12明碼儲存還昭告天下 笑死

bill020506/16 18:16以前有做過明碼傳送密碼 但也是一次性 而且也encrypt過

alihue06/16 19:24chrome 其實只是表示不一定要存成 hash,傳輸加密和儲存

alihue06/16 19:24加密做好比較重要

LinuxKernel06/16 19:25有IT大臣餒

mathrew06/16 20:44寄舊密碼超瞎的,那就是明碼儲存阿

darrenlin06/16 21:10還好吧 如果是 API KEY 也是直接提供給 User 啊

wawi206/16 22:20XD

Xaotic06/16 23:18存明碼的人比你想像的要多很多

jinmin8806/17 01:28看到aspx就直接end

abc092200106/17 17:46https 跟憑證,應該是有加密的傳輸吧

Sawilliam06/17 23:52公家部門感覺不意外

Sawilliam06/17 23:53話說公家部門系統這麼多,我不覺得全部歸一個政委管

godsparticle06/18 04:59密碼查詢的確是再試對方的安全機制

y80012215506/18 13:23我看過公家單位網站密碼秀在網址的

acgotaku06/18 16:19有時效的一次性密碼做信箱/電話身份認證,哪裡不妥了?

acgotaku06/18 16:23我不知道他的步驟是什麼,也沒操作過,但是信箱寄送明碼

acgotaku06/18 16:25這太算是嚴重資安問題,不然忘記密碼用two factor auth

acgotaku06/18 16:25不是很常見的做法嗎?

acgotaku06/18 16:27而且用信箱寄明碼不代表存資料庫沒有encrypt過

Deltaguita06/18 16:31樓上我建議你把推文看完 :)

jennya06/18 20:30這不ok耶,的確是該找個地方回報一下

newversion06/18 21:04明碼很容易被 timing attack

※ 編輯: Deltaguita (1.171.211.169 臺灣), 06/19/2021 17:33:13

Deltaguita06/19 17:33一直都沒人跟我說哪裡可以回報XD

shter06/20 00:20這種流程比較像是銀行印密碼書的思維

go171706/20 17:04我是堅持使用不一樣的帳號密碼 才不會怕原po這種鳥事^^

go171706/20 17:04且瀏覽器全程用無痕之類 我不會把密碼.自動完成存在瀏覽

go171706/20 17:04器裡…這個動作有資安問題

sxy6723006/23 09:12想要搞大一點樓主就用媒體投書。想簡單解決的話,我用

sxy6723006/23 09:12網頁上的客服電話反應吧。

agario06/27 08:36搜尋一下「我的密碼沒加密」這個網站

go171706/27 11:41一定要使用完全不同的帳密 根本就不怕對方沒加密而外流^^

Gossiking07/04 00:40什麼時代了還連hash都沒有

shimachokong08/02 21:00寄舊的密碼耶,看來我要小心了