[請益] 直接把密碼寄給使用者算不算資安問題啊?

看板Soft_Job作者 (貝里斯)時間2年前 (2021/06/16 09:11), 2年前編輯推噓34(34052)
留言86則, 44人參與, 2年前最新討論串1/1
各位大大好: 我發現在嚴重特殊傳染性肺炎企業紓困的網站 https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx 只要輸入統一編號、聯絡人、電子信箱就會直接把密碼以明碼的形式寄到信箱。 (而且是舊密碼) 我印象密碼是不能以明碼方式儲存的,而且直接以明碼寄送更是不可以 不知道這個該去哪裡反應? 算嚴重的資安問題嗎? https://upload.cc/i1/2021/06/16/HDzali.png
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.217.102 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1623805883.A.61A.html ※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 09:12:22
06/16 09:12, 2年前 , 1F
it 天才唐鳳你敢嘴?
06/16 09:12, 1F
06/16 09:17, 2年前 , 2F
不一定是唐鳳弄的吧,我覺得他已經不會實做到這麼細的
06/16 09:17, 2F
06/16 09:18, 2年前 , 3F
功能了
06/16 09:18, 3F
06/16 09:24, 2年前 , 4F
這個是外包的嗎?可以這樣設計喔?
06/16 09:24, 4F
06/16 09:28, 2年前 , 5F
秘密不能以明碼存? chrome 密碼自動填入表示:
06/16 09:28, 5F
06/16 09:42, 2年前 , 6F
chrome 用起來也是有點怕怕的呢
06/16 09:42, 6F
06/16 09:47, 2年前 , 7F
唐鳳設計的系統跟現實社會脫節太多了
06/16 09:47, 7F
06/16 09:48, 2年前 , 8F
我覺得你們一直cue他,晚點他來回覆留言的機會很高...
06/16 09:48, 8F
06/16 09:50, 2年前 , 9F
chrome至少有加密過好嗎
06/16 09:50, 9F
06/16 10:05, 2年前 , 10F
chrome一定要有你的密碼阿,不然怎麼輸入?
06/16 10:05, 10F
06/16 10:06, 2年前 , 11F
另外如果他傳給你的密碼不是你當初設定的,也許是安全
06/16 10:06, 11F
06/16 10:06, 2年前 , 12F
06/16 10:06, 12F
是當初設定的喔
06/16 10:10, 2年前 , 13F
誰不知道 chrome 有加密,但原文意思是說密碼要用 hash
06/16 10:10, 13F
06/16 10:10, 2年前 , 14F
06/16 10:10, 14F
印象中儲存跟傳輸都不應該明碼吧? 而且要以不可逆的方式hash,我看電商或是大型網站通常是搭配二階段驗證然後給一個 連結讓使用者重新設定一組密碼
06/16 10:20, 2年前 , 15F
八成是腦殘官員要求的....
06/16 10:20, 15F
06/16 10:22, 2年前 , 16F
明碼傳送不見得是原始密碼 如果是才要怕
06/16 10:22, 16F
是當初設定的喔
06/16 10:22, 2年前 , 17F
確實有點怪
06/16 10:22, 17F
06/16 10:23, 2年前 , 18F
以前就真的愈過高官要求要寄明碼到信箱 但被主管反駁回
06/16 10:23, 18F
06/16 10:23, 2年前 , 19F
06/16 10:23, 19F
06/16 10:35, 2年前 , 20F
是 密碼應該要單獨寄 不能跟登入帳號一起
06/16 10:35, 20F
這樣是有好一點點,但還是怪怪的XD
06/16 10:35, 2年前 , 21F
chrome的存密碼跟網站存使用者的密碼是兩回事....
06/16 10:35, 21F
06/16 10:39, 2年前 , 22F
資安議題通常都是出問題再說啦,能用就好
06/16 10:39, 22F
※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 10:56:33
06/16 10:49, 2年前 , 23F
密碼不能查詢 只能叫忘記密碼 臨時登入後強制改
06/16 10:49, 23F
06/16 11:04, 2年前 , 24F
chrome的存密碼應該是存在客戶端(希望啦),密碼
06/16 11:04, 24F
06/16 11:04, 2年前 , 25F
不應該可以取回應該是直接重設。
06/16 11:04, 25F
06/16 11:15, 2年前 , 26F
痾...驗證後 給一個亂數密碼 請他進去後再修改 比較好吧
06/16 11:15, 26F
06/16 11:16, 2年前 , 27F
Google都說2FA才是正道了 搞一堆限制 根本是在防止使用者記
06/16 11:16, 27F
06/16 11:16, 2年前 , 28F
起來
06/16 11:16, 28F
06/16 11:21, 2年前 , 29F
要推數位化的話應該順便推無密碼的FIDO
06/16 11:21, 29F
06/16 11:29, 2年前 , 30F
如果要求登入就改密碼就是合理的,但如果沒有
06/16 11:29, 30F
06/16 11:34, 2年前 , 31F
即便要求馬上改也不太合適,因為很多人都共用一組...
06/16 11:34, 31F
06/16 12:01, 2年前 , 32F
Google的存密碼一定有上網啦...不然怎麼跨裝置用
06/16 12:01, 32F
06/16 12:06, 2年前 , 33F
他寄新密碼給你 還是你的舊密碼阿?
06/16 12:06, 33F
06/16 12:17, 2年前 , 34F
舊密碼
06/16 12:17, 34F
06/16 12:21, 2年前 , 35F
舊密碼? 現在還有人這樣做喔 XD
06/16 12:21, 35F
06/16 12:44, 2年前 , 36F
那這很嚴重,可以上新聞了...可惜記者應該看不懂這篇
06/16 12:44, 36F
06/16 13:20, 2年前 , 37F
上新聞也還好,一般民眾根本不理解問題在哪裡
06/16 13:20, 37F
06/16 13:35, 2年前 , 38F
一個factor auth不夠安全 就用兩個 兩個不夠就三個
06/16 13:35, 38F
06/16 14:53, 2年前 , 39F
推文好精彩 抓到一堆人密碼明文放db齁
06/16 14:53, 39F
06/16 14:53, 2年前 , 40F
那間公司報一下 準備進攻囉
06/16 14:53, 40F
06/16 15:45, 2年前 , 41F
原始設定哦.....那真的很可怕
06/16 15:45, 41F
06/16 15:50, 2年前 , 42F
2FA才是正解
06/16 15:50, 42F
06/16 15:50, 2年前 , 43F
這讓我想到某公司忘記密碼是用簡訊寄明碼 怕
06/16 15:50, 43F
06/16 16:14, 2年前 , 44F
舊密碼...這個就 如果其他地方有相同密碼的話 趕快改吧
06/16 16:14, 44F
06/16 16:15, 2年前 , 45F
這種網站八成都外包 隨便做做也是不意外
06/16 16:15, 45F
06/16 16:47, 2年前 , 46F
Google 不可能只放 client ,有同步
06/16 16:47, 46F
06/16 16:51, 2年前 , 47F
如果是新戶的話,他可能是產生暫用密碼,加密存資料庫之
06/16 16:51, 47F
06/16 16:51, 2年前 , 48F
前寄給你,不代表沒有加密。如果機忘記密碼他還能寄明碼
06/16 16:51, 48F
06/16 16:51, 2年前 , 49F
給你才是有問題
06/16 16:51, 49F
06/16 16:56, 2年前 , 50F
理論上DB不能存明碼,能夠decrypt 也是很瞎
06/16 16:56, 50F
06/16 17:07, 2年前 , 51F
其實更可怕的是,下載 edge 可以從 chrome 匯入,包含密
06/16 17:07, 51F
06/16 17:07, 2年前 , 52F
碼的自動完成
06/16 17:07, 52F
06/16 17:10, 2年前 , 53F
新密碼還算可以 舊密碼就不太行惹....
06/16 17:10, 53F
06/16 17:10, 2年前 , 54F
如果是新密碼的話 的確有可能先產生 寄信 然後才hash入DB
06/16 17:10, 54F
06/16 18:09, 2年前 , 55F
chrome那個是方便性 你可以決定要不要用 但是這個你不
06/16 18:09, 55F
06/16 18:09, 2年前 , 56F
能決定阿
06/16 18:09, 56F
06/16 18:10, 2年前 , 57F
是預設的亂碼密碼就沒差吧
06/16 18:10, 57F
06/16 18:11, 2年前 , 58F
是舊密碼喔XDD 公部門水準不意外
06/16 18:11, 58F
06/16 18:12, 2年前 , 59F
明碼儲存還昭告天下 笑死
06/16 18:12, 59F
06/16 18:16, 2年前 , 60F
以前有做過明碼傳送密碼 但也是一次性 而且也encrypt過
06/16 18:16, 60F
06/16 19:24, 2年前 , 61F
chrome 其實只是表示不一定要存成 hash,傳輸加密和儲存
06/16 19:24, 61F
06/16 19:24, 2年前 , 62F
加密做好比較重要
06/16 19:24, 62F
06/16 19:25, 2年前 , 63F
有IT大臣餒
06/16 19:25, 63F
06/16 20:44, 2年前 , 64F
寄舊密碼超瞎的,那就是明碼儲存阿
06/16 20:44, 64F
06/16 21:10, 2年前 , 65F
還好吧 如果是 API KEY 也是直接提供給 User 啊
06/16 21:10, 65F
06/16 22:20, 2年前 , 66F
XD
06/16 22:20, 66F
06/16 23:18, 2年前 , 67F
存明碼的人比你想像的要多很多
06/16 23:18, 67F
06/17 01:28, 2年前 , 68F
看到aspx就直接end
06/17 01:28, 68F
06/17 17:46, 2年前 , 69F
https 跟憑證,應該是有加密的傳輸吧
06/17 17:46, 69F
06/17 23:52, 2年前 , 70F
公家部門感覺不意外
06/17 23:52, 70F
06/17 23:53, 2年前 , 71F
話說公家部門系統這麼多,我不覺得全部歸一個政委管
06/17 23:53, 71F
06/18 04:59, 2年前 , 72F
密碼查詢的確是再試對方的安全機制
06/18 04:59, 72F
06/18 13:23, 2年前 , 73F
我看過公家單位網站密碼秀在網址的
06/18 13:23, 73F
06/18 16:19, 2年前 , 74F
有時效的一次性密碼做信箱/電話身份認證,哪裡不妥了?
06/18 16:19, 74F
06/18 16:23, 2年前 , 75F
我不知道他的步驟是什麼,也沒操作過,但是信箱寄送明碼
06/18 16:23, 75F
06/18 16:25, 2年前 , 76F
這太算是嚴重資安問題,不然忘記密碼用two factor auth
06/18 16:25, 76F
06/18 16:25, 2年前 , 77F
不是很常見的做法嗎?
06/18 16:25, 77F
06/18 16:27, 2年前 , 78F
而且用信箱寄明碼不代表存資料庫沒有encrypt過
06/18 16:27, 78F
06/18 16:31, 2年前 , 79F
樓上我建議你把推文看完 :)
06/18 16:31, 79F
06/18 20:30, 2年前 , 80F
這不ok耶,的確是該找個地方回報一下
06/18 20:30, 80F
06/18 21:04, 2年前 , 81F
明碼很容易被 timing attack
06/18 21:04, 81F
※ 編輯: Deltaguita (1.171.211.169 臺灣), 06/19/2021 17:33:13
06/19 17:33, 2年前 , 82F
一直都沒人跟我說哪裡可以回報XD
06/19 17:33, 82F
06/20 00:20, 2年前 , 83F
這種流程比較像是銀行印密碼書的思維
06/20 00:20, 83F
06/20 17:04, 2年前 , 84F
我是堅持使用不一樣的帳號密碼 才不會怕原po這種鳥事^^
06/20 17:04, 84F
06/20 17:04, 2年前 , 85F
且瀏覽器全程用無痕之類 我不會把密碼.自動完成存在瀏覽
06/20 17:04, 85F
06/20 17:04, 2年前 , 86F
器裡…這個動作有資安問題
06/20 17:04, 86F
更多 Deltaguita 的文章
文章代碼(AID): #1WoK-xOQ (Soft_Job)