Должен ли я быть обеспокоен, если мой хостинг-провайдер Git хранит пароли в открытом виде?

Я нашел комментарий к Reddit, предполагающий, что ProjectLocker, бесплатный хост Git, сохраняет свои пароли в виде обычного текста.

Я не знаю

  • Шифрование каталога пользователя в Windows 7
  • Отслеживание информации о подключении HTTPS
  • Какая связь может быть перехвачена сетью, к которой я подключен через VPN?
  • Как сделать xampp безопасным
  • Очистка диска, кроме DBAN
  • Могут ли другие люди на зашифрованном Wi-Fi AP видеть, что вы делаете?
    • (А) если это верно
    • (B) как проверить это или
    • (C) насколько я беспокоюсь, если это будет правильно.

    Может ли это означать, что для кого-то было бы тривиально легко попасть в один из моих личных хранилищ кода?

  • Как я могу убедиться, что Git не спрашивает у меня имя пользователя и пароль GitHub?
  • Беспроводное сетевое подключение: Тип безопасности: Unsecure
  • В Windows 7 Как запрашивать время, когда компьютер был заблокирован?
  • Как сохранить настройки OSX под управлением версии?
  • Где мой zsh получает свои настройки завершения git?
  • Возможно ли / хорошая практика использовать один и тот же закрытый ключ для двух серверов для входа без пароля с одного и того же рабочего места / локального сервера?
  • 3 Solutions collect form web for “Должен ли я быть обеспокоен, если мой хостинг-провайдер Git хранит пароли в открытом виде?”

    Я работаю над ProjectLocker, и я хотел бы добавить некоторую ясность в эту тему. Во-первых, чтобы ответить на вопросы OP:

    A) Этот слух не соответствует действительности. ProjectLocker не хранит пароли в текстовом виде.

    B) Вы не можете проверить это для ProjectLocker или любого другого веб-сайта без доступа к их бэкэнд-системам.

    В) Я был бы очень обеспокоен. Тем не менее, я был бы очень удивлен, обнаружив, что любой из основных сайтов Subversion или Git-хостинга хранит пароли открытого текста. Это просто плохая идея.

    Кстати, весь доступ Git в ProjectLocker использует аутентификацию с открытым ключом и отсутствие паролей.

    Как отмечали другие, ProjectLocker позволяет пользователям получать потерянные пароли. Мы делаем это, сохраняя пароли, зашифрованные с помощью двухсторонней функции. (Если вы когда-либо проверяли флажок «сохранить эту карту на потом» на веб-сайте электронной торговли, ваша кредитная карта хранится таким образом. То же самое происходит с сайтами подписки, которые периодически выставляются на счет, например Netflix.) В целом мы рассматриваем пароли как чувствительные Данные, такие как кредитные карты или артефакты клиентов (код и т. Д.). Есть справедливые философские дебаты о том, должны ли сайты хранить пароли в извлекаемом формате, но отзывы наших пользователей показали, что они предпочитают извлекаемые пароли.

    Что касается должности в Reddit, я могу сказать, что плакат никогда не работал в ProjectLocker и не имеет фактических знаний о наших системах аутентификации. Плакат, скорее всего, не знаком с двухсторонними функциями и ошибочно запутывает «обратимый» с «открытым текстом».

    Наконец, если вы рассматриваете возможность размещения своего кода с третьей стороной, и вы не доверяете их ответам на такой вопрос, вы определенно не должны хранить свой код там. Если вы не доверяете своему хосту, вы не должны использовать их вообще, независимо от того, как они хранят ваш пароль.

    Если это так, то это угроза безопасности, так как любой, кто имеет доступ (или может получить доступ с помощью определенных средств), сможет прочитать ваш пароль.

    Вы всегда можете спросить ProjectLocker, является ли комментарий Reddit истинным. Думаете ли вы, что их ответ зависит от вас.

    Однако я не знаю, правда ли это или нет.

    Один из способов проверить, верно ли это, – притвориться, что вы забыли свой пароль. Если хост сообщает вам ваш текущий пароль вместо его сброса и предоставления временного пароля, у вас есть доказательство того, что они хранят его в открытом виде.

    Edit : комментарий Джошуа прав: это не окончательное доказательство того, что они хранят ваш пароль в открытом виде, но это доказательство того, что они хранят ваш пароль в обратимом формате.

    Наиболее безопасно хранить засоленный односторонний хэш пароля. Тривиально хешировать ваш вход и сравнивать его с сохраненным хешем, но непрактично, если кто-либо обратит инженер хеширования, чтобы получить ваш пароль. Вот почему большинство сайтов отправляют вам странный случайный пароль, когда вы его теряете: они больше не знают, что ваш пароль, поэтому они должны сбросить его на то, что они знают.

    Если ProjectLocker хранит ваш пароль в обратимом формате, вы должны иметь различную степень беспокойства. Недовольные сотрудники – это не единственная опасность; Если злоумышленник может получить дамп базы данных и может определить способ декодирования паролей (если они могут получить дамп БД, они могут получить исходный код), у них будет много паролей. Если вы используете имя пользователя и пароль, которые вы больше не используете для этого сайта, худшее, что они могут сделать, это испортить вашу учетную запись ProjectLocker. Тем не менее, многие люди используют одинаковые имена пользователей и аналогичные пароли для многих разных сайтов; Если вы это сделаете, то хранение пароля в обратимом формате ставит вас под большой риск.

    На мой взгляд, если пароль, который вы используете в ProjectLocker, не похож на пароли, которые вы используете на других сайтах, вы не должны слишком беспокоиться. Тем не менее, было бы полезно выразить жалобу с ними, потому что это делает гораздо более вероятным, что небольшой пробег в безопасности может привести к тому, что кто-то получит доступ к вашей учетной записи.

    Давайте будем гением компьютера.