各位大大好:
我發現在嚴重特殊傳染性肺炎企業紓困的網站
https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx
只要輸入統一編號、聯絡人、電子信箱就會直接把密碼以明碼的形式寄到信箱。
(而且是舊密碼)
我印象密碼是不能以明碼方式儲存的,而且直接以明碼寄送更是不可以
不知道這個該去哪裡反應? 算嚴重的資安問題嗎?
https://upload.cc/i1/2021/06/16/HDzali.png
作者: play714 (play) 2021-06-16 09:12:00
it 天才唐鳳你敢嘴?
不一定是唐鳳弄的吧,我覺得他已經不會實做到這麼細的功能了
作者:
umum29 (....)
2021-06-16 09:24:00這個是外包的嗎?可以這樣設計喔?
作者:
alihue (wanda wanda)
2021-06-16 09:28:00秘密不能以明碼存? chrome 密碼自動填入表示:
作者:
taipoo (要成功要積極)
2021-06-16 09:47:00唐鳳設計的系統跟現實社會脫節太多了
我覺得你們一直cue他,晚點他來回覆留言的機會很高...
chrome一定要有你的密碼阿,不然怎麼輸入?另外如果他傳給你的密碼不是你當初設定的,也許是安全的
作者:
alihue (wanda wanda)
2021-06-16 10:10:00誰不知道 chrome 有加密,但原文意思是說密碼要用 hash吧
作者:
bill0205 (善良的小孩沒人愛)
2021-06-16 10:20:00八成是腦殘官員要求的....明碼傳送不見得是原始密碼 如果是才要怕
作者: k798976869 (kk) 2021-06-16 10:22:00
確實有點怪
作者:
bill0205 (善良的小孩沒人愛)
2021-06-16 10:23:00以前就真的愈過高官要求要寄明碼到信箱 但被主管反駁回去
chrome的存密碼跟網站存使用者的密碼是兩回事....
chrome的存密碼應該是存在客戶端(希望啦),密碼不應該可以取回應該是直接重設。
作者:
godddddd (howudoing)
2021-06-16 11:15:00痾...驗證後 給一個亂數密碼 請他進去後再修改 比較好吧
作者:
HKCs (路人)
2021-06-16 11:16:00Google都說2FA才是正道了 搞一堆限制 根本是在防止使用者記起來
即便要求馬上改也不太合適,因為很多人都共用一組...
Google的存密碼一定有上網啦...不然怎麼跨裝置用
作者: za755188 2021-06-16 12:06:00
他寄新密碼給你 還是你的舊密碼阿?
作者: ctrlbreak 2021-06-16 12:21:00
舊密碼? 現在還有人這樣做喔 XD
那這很嚴重,可以上新聞了...可惜記者應該看不懂這篇
一個factor auth不夠安全 就用兩個 兩個不夠就三個
作者: theedge 2021-06-16 14:53:00
推文好精彩 抓到一堆人密碼明文放db齁那間公司報一下 準備進攻囉
作者:
bill0205 (善良的小孩沒人愛)
2021-06-16 15:45:00原始設定哦.....那真的很可怕
作者:
gs8613789 (Shang6029)
2021-06-16 15:50:002FA才是正解
作者: za755188 2021-06-16 16:14:00
舊密碼...這個就 如果其他地方有相同密碼的話 趕快改吧這種網站八成都外包 隨便做做也是不意外
作者:
alihue (wanda wanda)
2021-06-16 16:47:00Google 不可能只放 client ,有同步
作者:
for5566 (Yo)
2021-06-16 16:51:00如果是新戶的話,他可能是產生暫用密碼,加密存資料庫之前寄給你,不代表沒有加密。如果機忘記密碼他還能寄明碼給你才是有問題
作者: pig22022 (宏) 2021-06-16 16:56:00
理論上DB不能存明碼,能夠decrypt 也是很瞎
作者:
alihue (wanda wanda)
2021-06-16 17:07:00其實更可怕的是,下載 edge 可以從 chrome 匯入,包含密碼的自動完成
新密碼還算可以 舊密碼就不太行惹....如果是新密碼的話 的確有可能先產生 寄信 然後才hash入DB
作者:
hduek153 (專業打醬油)
2021-06-16 18:09:00chrome那個是方便性 你可以決定要不要用 但是這個你不能決定阿
是預設的亂碼密碼就沒差吧是舊密碼喔XDD 公部門水準不意外明碼儲存還昭告天下 笑死
作者:
bill0205 (善良的小孩沒人愛)
2021-06-16 18:16:00以前有做過明碼傳送密碼 但也是一次性 而且也encrypt過
作者:
alihue (wanda wanda)
2021-06-16 19:24:00chrome 其實只是表示不一定要存成 hash,傳輸加密和儲存加密做好比較重要
作者:
mathrew (Joey)
2021-06-16 20:44:00寄舊密碼超瞎的,那就是明碼儲存阿
還好吧 如果是 API KEY 也是直接提供給 User 啊
作者:
wawi2 (@@)
2021-06-16 22:20:00XD
作者:
Xaotic (Xaotic)
2021-06-16 23:18:00存明碼的人比你想像的要多很多
作者:
Sawilliam (Sawilliam)
2021-06-17 23:52:00公家部門感覺不意外話說公家部門系統這麼多,我不覺得全部歸一個政委管
作者:
acgotaku (otaku)
2021-06-18 16:19:00有時效的一次性密碼做信箱/電話身份認證,哪裡不妥了?我不知道他的步驟是什麼,也沒操作過,但是信箱寄送明碼這太算是嚴重資安問題,不然忘記密碼用two factor auth不是很常見的做法嗎?而且用信箱寄明碼不代表存資料庫沒有encrypt過
作者:
jennya (Jennya)
2021-06-18 20:30:00這不ok耶,的確是該找個地方回報一下
作者:
shter (飛梭之影)
2021-06-20 00:20:00這種流程比較像是銀行印密碼書的思維
作者:
go1717 (go一起一起當神)
2021-06-20 17:04:00我是堅持使用不一樣的帳號密碼 才不會怕原po這種鳥事^^且瀏覽器全程用無痕之類 我不會把密碼.自動完成存在瀏覽器裡…這個動作有資安問題
作者:
sxy67230 (charlesgg)
2021-06-23 09:12:00想要搞大一點樓主就用媒體投書。想簡單解決的話,我用網頁上的客服電話反應吧。
作者: agario (Agar.io) 2021-06-27 08:36:00
搜尋一下「我的密碼沒加密」這個網站
作者:
go1717 (go一起一起當神)
2021-06-27 11:41:00一定要使用完全不同的帳密 根本就不怕對方沒加密而外流^^
作者: Gossiking (八卦王) 2021-07-04 00:40:00
什麼時代了還連hash都沒有
作者: shimachokong 2021-08-02 21:00:00
寄舊的密碼耶,看來我要小心了