遇到不允许更改密码的网站灰狗

2018-06-17 35

对于密码策略不佳的网站,不缺不良角色。允许8个甚至6个字符密码的站点(有些由银行或其他金融服务运营),有时甚至允许字母以大写或小写形式输入?是的。用明文发送忘记密码的网站?可悲的是,一直如此。ars很大程度上停止了对他们的报道,因为像这样的Twitter账户更好地覆盖了他们。

进一步了解为什么密码从来没有变弱过,破解程序从来没有变强过,但是最近,我看到一个非常糟糕的站点策略,我无法保持安静。它是灰狗网站,一个让人们预订公共汽车旅行和兑换过去旅行奖励的网站。该网站允许密码短至4个字符,包括1234个字符。当用户忘记密码时,Greyhound . com将在电子邮件中发送PIN或密码的明文,这表明在Greyhound的数据库遭到破坏的情况下,站点没有使用任何加密散列来保护用户密码。

最糟糕的是:灰狗网站不提供更改密码的机制。永远。如果某个帐户遭到破坏或密码遭到破坏,该帐户将无限期地使用该错误密码。上周,我向灰狗女发言人解释了密码散列和密码重置对安全至关重要的原因,并询问她的公司是否有计划将它们添加到灰狗网站。她的回答是:

根据您对网站的询问,这是我们要解决的路线图,但客户在我们网站上购买机票时,付款信息从未受到影响。

灰狗似乎不明白的是,它的许多客户使用相同的密码来保护多个帐户。通过以明文存储密码,总线服务将所有这些帐户置于风险之中。而没有任何改变密码的手段是公正的...惊人的疏忽。在灰狗官员将基本安全作为优先事项之前,用户应强烈考虑删除其帐户中存储的所有数据,并以当前唯一可能的方式关闭这些数据——将电子邮件地址更改为不存在的地址,如前customer @ example . com .