信じがたいことですが
、サイトの約
30%がユーザーのパスワードを保護されていない形式で保持しています。 誰かがシステムに侵入した場合、すべてのパスワードはプレーンテキストで表示されます。
上級ユーザーは、保存されている15文字のパスワードを生成して記憶している場合、気分を害するはずです。
ご存知のように、多くの人々は異なるサービスに同じパスワードを使用する傾向があります。 ある場所でデータリークが発生した場合、このパスワードは彼のメールボックスとオンラインバンキングサービスの両方に送られます。
「ブラックリスト」
プレーンテキスト犯罪者の著者は、ウェブ開発者のそのような不注意に対処することは、公的非難によってのみ可能であると確信しています。 このリソースは、パスワードをクリアテキストで保存できる毎日のサイトを公開します。
あなた自身がこのような見苦しいサイトを見つけた場合-
証明付きのスクリーンショットを送信し (たとえば、パスワードがクリアな形式で書かれたものから)、リストに追加されます。
実際に、サービスがパスワードを記載したメールを送信した場合、必ずしもそれらが平文で保存されているわけではありません。 しかし、まず、このような機密情報をオープンネットワークを介してオープンフォームで送信すること自体が非難されます。
第二に、サービスがパスワードを平文でメールで送信する場合、サーバー上のどこかに少なくとも一時的に平文で保存されます。 このデータが永続的に保存されるバックアップまたはメールアーカイブがある可能性もあります。 つまり、パスワードがハッシュ化されていても、そのようなメールアーカイブを保存すると、すべての保護対策が不要になります。
パスワードをクリアテキストで保存するサイトの別の「ブラックリスト」は、
ここで維持され
ます 。 ここには、Chrome用の
PasswordFail拡張機能もあります。これは、リストからサイトにアクセスした場合に通知します。
信頼できるパスワード保護のために、
bcryptのみを使用することを
お勧めします 。 実際、現代のCUDA番号クラッシャーでは、
1日あたり10〜20ビットコインを獲得するだけでなく、
1秒間に最大
7億個のハッシュを繰り返す比較的安価なクラスターを構築できるため、MD5やSHA1のような通常のハッシュも考慮できません信頼できる保護。