我最近使用Meebo,我必须承认我有点偏执于将我的IM登录信息输入到这样的网站。他们如何为每个独立的IM服务存储我的用户名和密码?当一个网站接受我的密码并对其执行某种不可逆转的单向功能时,我只能感觉很舒服,但似乎Meebo必须以我们可以随时检索密码的方式存储密码,以便于自动登录到他们支持的独立IM服务。我有理由对此有偏见吗?Meebo等网站如何存储用户名和密码?
编辑: 我发现这个摘自Meebo's privacy policy:
第三方IM服务的用户名和密码。 Meebo允许您通过Meebo(“第三方IM服务”)登录您的帐户访问第三方IM服务。为了访问您的第三方IM服务帐户,您必须在Meebo服务上输入适用的用户名和密码。要在网站上使用基本的IM服务,Meebo不会在我们的服务器上存储您的第三方IM服务帐户的密码。 如果您希望利用服务的高级功能,例如自动登录,则可能需要存储您的密码。
Jeff Atwood在本文后面发表了此主题:Please Give Us Your Email Password。
采取音符线2和3。为了做到#3,Meebo的需要你的密码; (除非IM提供者和Meebo之间有一些合作(这可能但不太可能)),它在这些行之间的某个点上具有明文密码。
恭喜,您不再完全控制您的即时通讯账户;就IM服务而言,Meebo 是你。
换句话说:你相信Meebo不会滥用你的密码吗?你相信Meebo保护你的密码吗?你相信Meebo不会被黑客入侵,密码被盗吗? 据我所知,没有办法告诉(除非你是Meebo,你不是)。
归结为:你相信Meebo的承诺吗?
这是我的$ 0.02:方便吗?检查。可怕的不安全?检查。
哦,并回答标题中的问题:最好的做法是“加密密码,不要让明文(不是绝对必要的时间的话)的任何地方”。但是,我看到太多的数据库都带有纯文本密码字段;有些企业显然认为加密是浪费精力直到出现真正糟糕的情况。 Meebo?我没有办法说。
除非他们与每个供应商签订合约,他们在这些供应商中创建散列并传递散列,他们将需要存储您的信息。
我认为这是最有可能的scenerio – djangofan 2009-07-15 17:09:27
是的,你是。
是的他/她是什么?有理或偏执?哈哈 – 2009-07-15 17:15:19
合理的偏执。我绝不会向社交网站发出密码。 – 2009-07-15 17:16:49
我希望事实并非如此,这是一种便捷的服务。 – 2009-07-15 17:23:40
是的,你是有道理的。当你把你的用户名/密码给一个网站,任何网站时,你真的不知道/保证他们将要做什么以及他们将如何保护它。
他们解释了他们如何将数据从浏览器发送到服务器;表单提交之前在JavaScript中进行RSA加密。
http://www.meebo.com/security/
编辑:澄清,他们没有指定他们如何储存,但据推测它是一个双向加密,可能与用户的密码作为密钥?
Meebo将您的个人账户密码与您的meebo账户密码加密。 您的meebo账户密码是bcrypt-ed。所以Meebo的不知道某个密码,除非你登录。 http://blog.meebo.com/?p=2220
在meebo blog他们详细讨论他们的安全功能。以下是摘要:
“我们存储您的[Meebo的]密码,不是密码本身的盐腌哈希。”
“[我们使用] Meebo的帐户密码,以暂时解密密码的IM帐户。我们只保留解密版本的内存,并且我们在注销后立即忘记解密版本。“
所以这项服务似乎很安全。如果您想要更安全,请不要使用您的meebo帐户登录,而是使用您的即时消息详细信息登录。
明文...在Usenet上。 – 2009-07-15 17:18:07