各位大大好:
我发现在严重特殊传染性肺炎企业纾困的网站
https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx
只要输入统一编号、联络人、电子信箱就会直接把密码以明码的形式寄到信箱。
(而且是旧密码)
我印象密码是不能以明码方式储存的,而且直接以明码寄送更是不可以
不知道这个该去哪里反应? 算严重的资安问题吗?
https://upload.cc/i1/2021/06/16/HDzali.png
作者: play714 (play) 2021-06-16 09:12:00
it 天才唐凤你敢嘴?
不一定是唐凤弄的吧,我觉得他已经不会实做到这么细的功能了
作者:
umum29 (....)
2021-06-16 09:24:00这个是外包的吗?可以这样设计喔?
作者:
alihue (wanda wanda)
2021-06-16 09:28:00秘密不能以明码存? chrome 密码自动填入表示:
作者:
taipoo (要成功要积极)
2021-06-16 09:47:00唐凤设计的系统跟现实社会脱节太多了
我觉得你们一直cue他,晚点他来回复留言的机会很高...
chrome一定要有你的密码阿,不然怎么输入?另外如果他传给你的密码不是你当初设定的,也许是安全的
作者:
alihue (wanda wanda)
2021-06-16 10:10:00谁不知道 chrome 有加密,但原文意思是说密码要用 hash吧
作者:
bill0205 (善良的小孩没人爱)
2021-06-16 10:20:00八成是脑残官员要求的....明码传送不见得是原始密码 如果是才要怕
作者: k798976869 (kk) 2021-06-16 10:22:00
确实有点怪
作者:
bill0205 (善良的小孩没人爱)
2021-06-16 10:23:00以前就真的愈过高官要求要寄明码到信箱 但被主管反驳回去
chrome的存密码跟网站存使用者的密码是两回事....
chrome的存密码应该是存在客户端(希望啦),密码不应该可以取回应该是直接重设。
作者:
godddddd (howudoing)
2021-06-16 11:15:00疴...验证后 给一个乱数密码 请他进去后再修改 比较好吧
作者:
HKCs (路人)
2021-06-16 11:16:00Google都说2FA才是正道了 搞一堆限制 根本是在防止使用者记起来
即便要求马上改也不太合适,因为很多人都共用一组...
Google的存密码一定有上网啦...不然怎么跨装置用
作者: za755188 2021-06-16 12:06:00
他寄新密码给你 还是你的旧密码阿?
作者: ctrlbreak 2021-06-16 12:21:00
旧密码? 现在还有人这样做喔 XD
那这很严重,可以上新闻了...可惜记者应该看不懂这篇
一个factor auth不够安全 就用两个 两个不够就三个
作者: theedge 2021-06-16 14:53:00
推文好精彩 抓到一堆人密码明文放db齁那间公司报一下 准备进攻囉
作者:
bill0205 (善良的小孩没人爱)
2021-06-16 15:45:00原始设定哦.....那真的很可怕
作者:
gs8613789 (Shang6029)
2021-06-16 15:50:002FA才是正解
作者: za755188 2021-06-16 16:14:00
旧密码...这个就 如果其他地方有相同密码的话 赶快改吧这种网站八成都外包 随便做做也是不意外
作者:
alihue (wanda wanda)
2021-06-16 16:47:00Google 不可能只放 client ,有同步
作者:
for5566 (Yo)
2021-06-16 16:51:00如果是新户的话,他可能是产生暂用密码,加密存数据库之前寄给你,不代表没有加密。如果机忘记密码他还能寄明码给你才是有问题
作者: pig22022 (宏) 2021-06-16 16:56:00
理论上DB不能存明码,能够decrypt 也是很瞎
作者:
alihue (wanda wanda)
2021-06-16 17:07:00其实更可怕的是,下载 edge 可以从 chrome 汇入,包含密码的自动完成
新密码还算可以 旧密码就不太行惹....如果是新密码的话 的确有可能先产生 寄信 然后才hash入DB
作者:
hduek153 (专业打酱油)
2021-06-16 18:09:00chrome那个是方便性 你可以决定要不要用 但是这个你不能决定阿
是默认的乱码密码就没差吧是旧密码喔XDD 公部门水准不意外明码储存还昭告天下 笑死
作者:
bill0205 (善良的小孩没人爱)
2021-06-16 18:16:00以前有做过明码传送密码 但也是一次性 而且也encrypt过
作者:
alihue (wanda wanda)
2021-06-16 19:24:00chrome 其实只是表示不一定要存成 hash,传输加密和储存加密做好比较重要
作者:
mathrew (Joey)
2021-06-16 20:44:00寄旧密码超瞎的,那就是明码储存阿
还好吧 如果是 API KEY 也是直接提供给 User 啊
作者:
wawi2 (@@)
2021-06-16 22:20:00XD
作者:
Xaotic (Xaotic)
2021-06-16 23:18:00存明码的人比你想像的要多很多
作者:
Sawilliam (Sawilliam)
2021-06-17 23:52:00公家部门感觉不意外话说公家部门系统这么多,我不觉得全部归一个政委管
作者:
acgotaku (otaku)
2021-06-18 16:19:00有时效的一次性密码做信箱/电话身份认证,哪里不妥了?我不知道他的步骤是什么,也没操作过,但是信箱寄送明码这太算是严重资安问题,不然忘记密码用two factor auth不是很常见的做法吗?而且用信箱寄明码不代表存数据库没有encrypt过
作者:
jennya (Jennya)
2021-06-18 20:30:00这不ok耶,的确是该找个地方回报一下
作者:
shter (飞梭之影)
2021-06-20 00:20:00这种流程比较像是银行印密码书的思维
作者:
go1717 (go一起一起当神)
2021-06-20 17:04:00我是坚持使用不一样的帐号密码 才不会怕原po这种鸟事^^且浏览器全程用无痕之类 我不会把密码.自动完成存在浏览器里…这个动作有资安问题
作者:
sxy67230 (charlesgg)
2021-06-23 09:12:00想要搞大一点楼主就用媒体投书。想简单解决的话,我用网页上的客服电话反应吧。
作者: agario (Agar.io) 2021-06-27 08:36:00
搜寻一下“我的密码没加密”这个网站
作者:
go1717 (go一起一起当神)
2021-06-27 11:41:00一定要使用完全不同的帐密 根本就不怕对方没加密而外流^^
作者: Gossiking (八卦王) 2021-07-04 00:40:00
什么时代了还连hash都没有
作者: shimachokong 2021-08-02 21:00:00
寄旧的密码耶,看来我要小心了