作者Deltaguita (贝里斯)
看板Soft_Job
标题[请益] 这算不算重大的资安问题啊?
时间Wed Jun 16 09:11:20 2021
各位大大好:
我发现在严重特殊传染性肺炎企业纾困的网站
https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx
只要输入统一编号、联络人、电子信箱就会直接把密码以明码的形式寄到信箱。
(而且是旧密码)
我印象密码是不能以明码方式储存的,而且直接以明码寄送更是不可以
不知道这个该去哪里反应? 算严重的资安问题吗?
https://upload.cc/i1/2021/06/16/HDzali.png
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.171.217.102 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1623805883.A.61A.html
※ 编辑: Deltaguita (1.171.217.102 台湾), 06/16/2021 09:12:22
1F:→ play714: it 天才唐凤你敢嘴? 06/16 09:12
2F:→ Deltaguita: 不一定是唐凤弄的吧,我觉得他已经不会实做到这麽细的 06/16 09:17
3F:→ Deltaguita: 功能了 06/16 09:18
4F:→ umum29: 这个是外包的吗?可以这样设计喔? 06/16 09:24
5F:推 alihue: 秘密不能以明码存? chrome 密码自动填入表示: 06/16 09:28
6F:→ Deltaguita: chrome 用起来也是有点怕怕的呢 06/16 09:42
7F:推 taipoo: 唐凤设计的系统跟现实社会脱节太多了 06/16 09:47
8F:→ Deltaguita: 我觉得你们一直cue他,晚点他来回覆留言的机会很高... 06/16 09:48
9F:→ x000032001: chrome至少有加密过好吗 06/16 09:50
10F:推 abccbaandy: chrome一定要有你的密码阿,不然怎麽输入? 06/16 10:05
11F:→ abccbaandy: 另外如果他传给你的密码不是你当初设定的,也许是安全 06/16 10:06
12F:→ abccbaandy: 的 06/16 10:06
是当初设定的喔
13F:→ alihue: 谁不知道 chrome 有加密,但原文意思是说密码要用 hash 06/16 10:10
14F:→ alihue: 吧 06/16 10:10
印象中储存跟传输都不应该明码吧?
而且要以不可逆的方式hash,我看电商或是大型网站通常是搭配二阶段验证然後给一个
连结让使用者重新设定一组密码
15F:推 bill0205: 八成是脑残官员要求的.... 06/16 10:20
16F:→ bill0205: 明码传送不见得是原始密码 如果是才要怕 06/16 10:22
是当初设定的喔
17F:推 k798976869: 确实有点怪 06/16 10:22
18F:→ bill0205: 以前就真的愈过高官要求要寄明码到信箱 但被主管反驳回 06/16 10:23
19F:→ bill0205: 去 06/16 10:23
20F:→ ChungLi5566: 是 密码应该要单独寄 不能跟登入帐号一起 06/16 10:35
这样是有好一点点,但还是怪怪的XD
21F:→ kuso0516: chrome的存密码跟网站存使用者的密码是两回事.... 06/16 10:35
22F:推 YahooTaiwan: 资安议题通常都是出问题再说啦,能用就好 06/16 10:39
※ 编辑: Deltaguita (1.171.217.102 台湾), 06/16/2021 10:56:33
23F:→ realbout: 密码不能查询 只能叫忘记密码 临时登入後强制改 06/16 10:49
24F:推 IMPOSSIBLEr: chrome的存密码应该是存在客户端(希望啦),密码 06/16 11:04
25F:→ IMPOSSIBLEr: 不应该可以取回应该是直接重设。 06/16 11:04
26F:→ godddddd: 痾...验证後 给一个乱数密码 请他进去後再修改 比较好吧 06/16 11:15
27F:→ HKCs: Google都说2FA才是正道了 搞一堆限制 根本是在防止使用者记 06/16 11:16
28F:→ HKCs: 起来 06/16 11:16
29F:→ ChungLi5566: 要推数位化的话应该顺便推无密码的FIDO 06/16 11:21
30F:推 wahaha279: 如果要求登入就改密码就是合理的,但如果没有 06/16 11:29
31F:→ Deltaguita: 即便要求马上改也不太合适,因为很多人都共用一组... 06/16 11:34
32F:→ petercoin: Google的存密码一定有上网啦...不然怎麽跨装置用 06/16 12:01
33F:推 za755188: 他寄新密码给你 还是你的旧密码阿? 06/16 12:06
34F:→ Deltaguita: 旧密码 06/16 12:17
35F:推 ctrlbreak: 旧密码? 现在还有人这样做喔 XD 06/16 12:21
36F:推 abccbaandy: 那这很严重,可以上新闻了...可惜记者应该看不懂这篇 06/16 12:44
37F:→ Deltaguita: 上新闻也还好,一般民众根本不理解问题在哪里 06/16 13:20
38F:→ shooter555: 一个factor auth不够安全 就用两个 两个不够就三个 06/16 13:35
39F:推 theedge: 推文好精彩 抓到一堆人密码明文放db齁 06/16 14:53
40F:→ theedge: 那间公司报一下 准备进攻罗 06/16 14:53
41F:推 bill0205: 原始设定哦.....那真的很可怕 06/16 15:45
42F:推 gs8613789: 2FA才是正解 06/16 15:50
43F:推 yc0015139: 这让我想到某公司忘记密码是用简讯寄明码 怕 06/16 15:50
44F:推 za755188: 旧密码...这个就 如果其他地方有相同密码的话 赶快改吧 06/16 16:14
45F:→ za755188: 这种网站八成都外包 随便做做也是不意外 06/16 16:15
46F:推 alihue: Google 不可能只放 client ,有同步 06/16 16:47
47F:推 for5566: 如果是新户的话,他可能是产生暂用密码,加密存资料库之 06/16 16:51
48F:→ for5566: 前寄给你,不代表没有加密。如果机忘记密码他还能寄明码 06/16 16:51
49F:→ for5566: 给你才是有问题 06/16 16:51
50F:推 pig22022: 理论上DB不能存明码,能够decrypt 也是很瞎 06/16 16:56
51F:推 alihue: 其实更可怕的是,下载 edge 可以从 chrome 汇入,包含密 06/16 17:07
52F:→ alihue: 码的自动完成 06/16 17:07
53F:推 kurtsgm: 新密码还算可以 旧密码就不太行惹.... 06/16 17:10
54F:→ kurtsgm: 如果是新密码的话 的确有可能先产生 寄信 然後才hash入DB 06/16 17:10
55F:推 hduek153: chrome那个是方便性 你可以决定要不要用 但是这个你不 06/16 18:09
56F:→ hduek153: 能决定阿 06/16 18:09
57F:→ lturtsamuel: 是预设的乱码密码就没差吧 06/16 18:10
58F:→ lturtsamuel: 是旧密码喔XDD 公部门水准不意外 06/16 18:11
59F:→ lturtsamuel: 明码储存还昭告天下 笑死 06/16 18:12
60F:→ bill0205: 以前有做过明码传送密码 但也是一次性 而且也encrypt过 06/16 18:16
61F:推 alihue: chrome 其实只是表示不一定要存成 hash,传输加密和储存 06/16 19:24
62F:→ alihue: 加密做好比较重要 06/16 19:24
63F:→ LinuxKernel: 有IT大臣馁 06/16 19:25
64F:推 mathrew: 寄旧密码超瞎的,那就是明码储存阿 06/16 20:44
65F:推 darrenlin: 还好吧 如果是 API KEY 也是直接提供给 User 啊 06/16 21:10
66F:→ wawi2: XD 06/16 22:20
67F:推 Xaotic: 存明码的人比你想像的要多很多 06/16 23:18
68F:推 jinmin88: 看到aspx就直接end 06/17 01:28
69F:→ abc0922001: https 跟凭证,应该是有加密的传输吧 06/17 17:46
70F:推 Sawilliam: 公家部门感觉不意外 06/17 23:52
71F:→ Sawilliam: 话说公家部门系统这麽多,我不觉得全部归一个政委管 06/17 23:53
72F:推 godsparticle: 密码查询的确是再试对方的安全机制 06/18 04:59
73F:→ y800122155: 我看过公家单位网站密码秀在网址的 06/18 13:23
74F:推 acgotaku: 有时效的一次性密码做信箱/电话身份认证,哪里不妥了? 06/18 16:19
75F:推 acgotaku: 我不知道他的步骤是什麽,也没操作过,但是信箱寄送明码 06/18 16:23
76F:→ acgotaku: 这太算是严重资安问题,不然忘记密码用two factor auth 06/18 16:25
77F:→ acgotaku: 不是很常见的做法吗? 06/18 16:25
78F:→ acgotaku: 而且用信箱寄明码不代表存资料库没有encrypt过 06/18 16:27
79F:→ Deltaguita: 楼上我建议你把推文看完 :) 06/18 16:31
80F:推 jennya: 这不ok耶,的确是该找个地方回报一下 06/18 20:30
81F:→ newversion: 明码很容易被 timing attack 06/18 21:04
※ 编辑: Deltaguita (1.171.211.169 台湾), 06/19/2021 17:33:13
82F:→ Deltaguita: 一直都没人跟我说哪里可以回报XD 06/19 17:33
83F:推 shter: 这种流程比较像是银行印密码书的思维 06/20 00:20
84F:推 go1717: 我是坚持使用不一样的帐号密码 才不会怕原po这种鸟事^^ 06/20 17:04
85F:→ go1717: 且浏览器全程用无痕之类 我不会把密码.自动完成存在浏览 06/20 17:04
86F:→ go1717: 器里…这个动作有资安问题 06/20 17:04
87F:推 sxy67230: 想要搞大一点楼主就用媒体投书。想简单解决的话,我用 06/23 09:12
88F:→ sxy67230: 网页上的客服电话反应吧。 06/23 09:12
89F:→ agario: 搜寻一下「我的密码没加密」这个网站 06/27 08:36
90F:→ go1717: 一定要使用完全不同的帐密 根本就不怕对方没加密而外流^^ 06/27 11:41
91F:推 Gossiking: 什麽时代了还连hash都没有 07/04 00:40
92F:推 shimachokong: 寄旧的密码耶,看来我要小心了 08/02 21:00