Должен ли я быть обеспокоен, если мой хостинг-провайдер Git хранит пароли в открытом виде?

Я нашел комментарий к Reddit, предполагающий, что ProjectLocker, бесплатный хост Git, сохраняет свои пароли в виде обычного текста.

Я не знаю

  • (А) если это верно
  • (B) как проверить это или
  • (C) насколько я беспокоюсь, если это будет правильно.

Может ли это означать, что для кого-то было бы тривиально легко попасть в один из моих личных хранилищ кода?

3 Solutions collect form web for “Должен ли я быть обеспокоен, если мой хостинг-провайдер Git хранит пароли в открытом виде?”

Я работаю над ProjectLocker, и я хотел бы добавить некоторую ясность в эту тему. Во-первых, чтобы ответить на вопросы OP:

A) Этот слух не соответствует действительности. ProjectLocker не хранит пароли в текстовом виде.

B) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их бэкэнд-системам.

В) Я был бы очень обеспокоен. Тем не менее, я был бы очень удивлен, обнаружив, что любой из основных сайтов Subversion или Git-хостинга хранит пароли открытого текста. Это просто плохая идея.

Кстати, весь доступ Git в ProjectLocker использует аутентификацию с открытым ключом и отсутствие паролей.

Как отмечали другие, ProjectLocker позволяет пользователям получать потерянные пароли. Мы делаем это, сохраняя пароли, зашифрованные с помощью двухсторонней функции. (Если вы когда-либо проверяли флажок «сохранить эту карту на потом» на веб-сайте электронной торговли, ваша кредитная карта хранится таким образом. То же самое происходит с сайтами подписки, которые периодически выставляются на счет, например Netflix.) В целом мы рассматриваем пароли как чувствительные Данные, такие как кредитные карты или артефакты клиентов (код и т. Д.). Есть справедливые философские дебаты о том, должны ли сайты хранить пароли в извлекаемом формате, но отзывы наших пользователей показали, что они предпочитают извлекаемые пароли.

Что касается должности в Reddit, я могу сказать, что плакат никогда не работал в ProjectLocker и не имеет фактических знаний о наших системах аутентификации. Плакат, скорее всего, не знаком с двухсторонними функциями и ошибочно запутывает «обратимый» с «открытым текстом».

Наконец, если вы рассматриваете возможность размещения своего кода с третьей стороной, и вы не доверяете их ответам на такой вопрос, вы определенно не должны хранить свой код там. Если вы не доверяете своему хосту, вы не должны использовать их вообще, независимо от того, как они хранят ваш пароль.

Если это так, то это угроза безопасности, так как любой, кто имеет доступ (или может получить доступ с помощью определенных средств), сможет прочитать ваш пароль.

Вы всегда можете спросить ProjectLocker, является ли комментарий Reddit истинным. Думаете ли вы, что их ответ зависит от вас.

Однако я не знаю, правда ли это или нет.

Один из способов проверить, верно ли это, – притвориться, что вы забыли свой пароль. Если хост сообщает вам ваш текущий пароль вместо его сброса и предоставления временного пароля, у вас есть доказательство того, что они хранят его в открытом виде.

Edit : комментарий Джошуа прав: это не окончательное доказательство того, что они хранят ваш пароль в открытом виде, но это доказательство того, что они хранят ваш пароль в обратимом формате.

Наиболее безопасно хранить засоленный односторонний хэш пароля. Тривиально хешировать ваш вход и сравнивать его с сохраненным хешем, но непрактично, если кто-либо обратит инженер хеширования, чтобы получить ваш пароль. Вот почему большинство сайтов отправляют вам странный случайный пароль, когда вы его теряете: они больше не знают, что ваш пароль, поэтому они должны сбросить его на то, что они знают.

Если ProjectLocker хранит ваш пароль в обратимом формате, вы должны иметь различную степень беспокойства. Недовольные сотрудники – это не единственная опасность; Если злоумышленник может получить дамп базы данных и может определить способ декодирования паролей (если они могут получить дамп БД, они могут получить исходный код), у них будет много паролей. Если вы используете имя пользователя и пароль, которые вы больше не используете для этого сайта, худшее, что они могут сделать, это испортить вашу учетную запись ProjectLocker. Тем не менее, многие люди используют одинаковые имена пользователей и аналогичные пароли для многих разных сайтов; Если вы это сделаете, то хранение пароля в обратимом формате ставит вас под большой риск.

На мой взгляд, если пароль, который вы используете в ProjectLocker, не похож на пароли, которые вы используете на других сайтах, вы не должны слишком беспокоиться. Тем не менее, было бы полезно выразить жалобу с ними, потому что это делает гораздо более вероятным, что небольшой пробег в безопасности может привести к тому, что кто-то получит доступ к вашей учетной записи.

  • Git Bash Здесь, в ConEmu
  • Как получить git-completion.bash для работы в Mac OS X?
  • Использование директивы IdentityFile в ssh_config при использовании AgentForwarding
  • Обновление сайта с git (over ssh)
  • Как отслеживать $ HOME с git
  • Как отключить подсказки для пароля при выполнении git push / pull?
  • Как заставить Git «забыть» о файле, который был отслежен, но теперь находится в .gitignore?
  • Несмотря на то, что GIT НЕ хранит дельта файлов, можете ли вы откатить предыдущие версии файлов (неограниченное время?)
  • Странные символы в терминале OSX
  • Как отменить последние коммиты в Git?
  • При клонировании с помощью git bash в Windows происходит получение Fatal: UriFormatException
  • Как сохранить настройки OSX под управлением версии?
  • Interesting Posts

    Если у меня есть два подключения к Интернету в ОСО, как я могу использовать оба для увеличения пропускной способности?

    Как вы скрываете Finder из списка приложений, когда Command-Tabbing?

    Бесплатный инструмент для восстановления данных для Linux?

    Доступ к массиву за пределами границ не дает ошибки, почему?

    Ноутбук под управлением Windows 7 постоянно терял связь

    Почему решающий m4 SATA SSD, подключенный к док-станции Inateck USB 3.0, значительно меньше ожидаемого ~ 410 МБ / с?

    Могу ли я объединить две локальные сети в одну, чтобы получить двойную скорость?

    Как получить покрытие беспроводной связи по всему дому?

    Win 8.1 shutdown задерживает ровно 5 минут без каких-либо журналов

    Windows 10 Search не может найти ЛЮБЫЕ приложения. Даже калькулятор

    Нет GRUB после повторной установки Windows

    Экран по умолчанию для безопасного режима Windows 7

    Почему некоторые загружаемые файлы не знают своего размера?

    Hum.exe – программы, которые не запускаются в Windows 7

    Как скопировать большие наборы данных между двумя виртуальными машинами VirtualBox?

    Давайте будем гением компьютера.