Рейтинг:0

Как я могу убедить юридическое лицо, что при наличии пароля возможно, что он хранится в открытом виде?

флаг ru

Если пользователь имеет пароль в системе, состоящей из 28 символов ASCII, в системе, скажем, my.gov.au, а затем несколько лет назад обнаруживается ошибка, которая ограничивает пароли до 20 символов, и теперь пользователь обнаруживает, что пароль для сайта - исходный 28-значный пароль, усеченный до 20 символов, разумно ли сделать вывод, что пароль хранится в открытом виде, и как можно привести этот аргумент человеку с юридическим, а не информационным образованием (т.е. . хеширование является одним из способов и т. д.).

Morrolan avatar
флаг ng
Я не обязательно согласен там. Вполне возможно, что они усекают пароль **перед** хешированием для целей обновления или сравнения. Тот факт, что они усекают его изолированно, не доказывает, что они хранят пароли в открытом виде.
флаг ph
Вы действительно хотите убедить их, что «это возможно»? Кажется, это очень низкая планка. Кто-то, кто не разбирается в технике, может даже не осознавать, что есть другая альтернатива.
Рейтинг:1
флаг ng

Я технический человек и понимаю аргумент, приведенный в вопросе. Но прежде чем я приму эти аргументы, чтобы заявить о ненадежности системы хранения паролей, прошлой или настоящей, мне нужно убедиться, что когда 28 символов ASCII были приняты, пароль, введенный с ошибкой после 20й персонаж получил отказ. Если нет, вполне возможно, что с момента создания только первые 20 символов пароля были значимыми, и теперь это ограничение применяется, а для остальных пароль был и хранится правильно хешированным паролем.

Даже тогда я не буду убежден, "что пароль является хранится в открытом виде». Вполне возможно, что пароль теперь хранится в правильном хешированном виде с преобразованием из старого формата в новый, когда пароль или его первые 20 символов впервые используются в новой системе. плавное преобразование из старого в новый формат пароля является стандартной процедурой.

Я даже не буду убеждаться, что пароль был хранится на равнине.Вполне возможно, что пароль хранился в зашифрованном виде с помощью обратимого шифрования и какого-то секретного ключа. Это не было бы правильным хешированием пароля, но все же лучше, чем «в обычном режиме» (и даже вполне удовлетворительным, если расшифровка и обработка пароля происходит только в безопасной среде, такой как HSM).

Я не говорю, что нельзя использовать "джедайские уловки разума" и убедить в чем-то юридическое лицо, как это было сделано при сертификации самолета. Но это то, что я не одобряю. К тому же это не по теме.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.