Almacenar las contraseñas de los medios sociales del usuario

Navega tus respuestas
2

Estoy tratando de entender cómo un servicio Snaplytics en el que confían algunas empresas de alta marca puede recopilar la contraseña de sus clientes para Snapchat y almacenarlos en su base de datos mientras se puede iniciar sesión en su cuenta de Snapchat periódicamente. Mi entendimiento para almacenar contraseñas es usar un método seguro como bcrypt. Nunca almacenar contraseñas de texto plano. Pero si Snaplytics inicia sesión periódicamente en las cuentas, necesitan la contraseña de texto simple para iniciar sesión en Snapchat. Pero estoy bastante seguro de que bcrypt es una función hash de una sola vía, así que, ¿cómo se las arreglan los usuarios para "asegurar" la contraseña de los clientes junto con el inicio de sesión en su cuenta?

A continuación se muestra una imagen de las contraseñas solicitadas donde dicen que "su contraseña se cifrará y almacenará de forma segura"

    
pregunta testinggnitset ser 03.06.2017 - 19:45
fuente

1 respuesta

4

Snaplytics dice que encripta la contraseña, no la hash. Cuando los datos están encriptados, se pueden descifrar al texto sin formato original con el uso de una clave, que Snaplytics espera que se mantenga segura internamente. De esta manera, las contraseñas no se almacenan en texto sin formato y son difíciles de recuperar si la base de datos de Snaplytics está comprometida, pero cuando Snaplytics necesita iniciar sesión en la cuenta de un usuario, pueden recuperar la contraseña de texto sin formato lo suficiente como para autenticarse en Snapchat. Eché un vistazo rápido a su sitio y no veo ninguna información sobre qué cifrado específico están utilizando.

Tiene razón al decir que cuando está ejecutando un servicio que utiliza autenticación de contraseña, debe codificar las contraseñas antes de almacenarlas en la base de datos porque no necesita la contraseña real de texto simple. Sin embargo, Snaplytics tiene que transmitir la contraseña a Snapchat en texto sin formato para que Snapchat pueda (con suerte) hacer un hash en su extremo y usarla para la autenticación, por lo que Snaplytics no tiene la opción de almacenarla a través de un hash de una sola vía.

    
respondido por el IllusiveBrian 03.06.2017 - 20:30
fuente

Lea otras preguntas en las etiquetas

Recibió 2 "Notificación de estado de entrega (error)" Correo de [email protected] con mensajes que no envié. ¿Es esto un ataque? ¿Existen soluciones para CVE-2017-0561 (ejecución remota de código de Broadcom Wi-Fi) en Android?