¿Cómo almacenan los clientes de correo electrónico web mis contraseñas de otros proveedores?

2

La situación se reduce a esto:

  • Cuando entro en hotmail, recupera mis mensajes que se conectan con otros proveedores: solo podrían hacerlo usando mi correo electrónico y contraseña.
  • Desde que ingresé hace un par de días, no necesito volver a ingresar mi correo electrónico / contraseña: hotmail no sabe cualquier secreto sobre mí / esta sesión específica .

A partir de estos puntos, solo puedo inferir:

  • Almacenan una contraseña maestra derivada de mi contraseña original en mis cookies. Por lo tanto, cuando yo vuelvo, lo usan para descifrar los correos electrónicos.
  • Lo tienen almacenado usando una contraseña maestra por sitio.

Sin embargo, ambas soluciones parecen realmente débiles. ¿Alguna idea sobre cómo implementar una conexión segura y persistente de cookies y cifrar contraseñas?

Nota: lea esta pregunta mía sobre por qué digo cifrar y no hash contraseñas.

    
pregunta Francisco Presencia 15.07.2014 - 18:31
fuente

3 respuestas

1

Parece que hablas de dos cosas diferentes: recuperar el correo y cifrar el correo. Después de leer la pregunta, creo que el cifrado no es de lo que se trata. Así que por ahora me olvido de ello.

Cuando inicia sesión en Hotmail o Gmail a través de su navegador, utiliza su inicio de sesión. Parece que tienes más direcciones de correo electrónico y posiblemente popboxes. Ahora depende de cómo configures esas otras direcciones.

Ejemplo

El alias reenvía el correo enviado automáticamente a la dirección de reenvío. Esta puede ser la ventana emergente del mismo proveedor, o puede ser cualquier otra dirección como su hotmail. El popbox ahora tiene un nombre feo. También podría tener un bonito nombre, o el mismo nombre que el alias, en cuyo caso el alias no existiría.

Situations

  1. El alias se reenvía a Hotmail directamente; Hotmail no necesita iniciar sesión.
  2. El alias se reenvía al cuadro de diálogo que se reenvía a Hotmail; no se requiere inicio de sesión de Hotmail.
  3. El alias se reenvía al cuadro de diálogo y Hotmail recupera el correo del cuadro de diálogo mediante pop3. Hotmail necesita el inicio de sesión de popbox, que ingresa solo una vez, y lo almacena permanentemente en sus propios servidores. Nada se almacena en una cookie en su computadora. Puede verificar esto ingresando a Hotmail en otra computadora donde nunca usó para ingresar las credenciales de popbox.
respondido por el SPRBRN 15.10.2014 - 15:32
fuente
0

Cuando inicia sesión en Hotmail a través de un navegador web, recupera cualquier correo electrónico asociado con ese buzón de correo. Incluso si ha configurado específicamente el reenvío de correo electrónico, la creación de alias o la integración de buzones de correo, entonces solo se conectará y autentificará en un servidor y un buzón de correo.

Cuando vincula específicamente su buzón de correo con otro buzón de correo (o dirección en el caso de aliasing), los servicios como Hotmail se utilizan para habilitar las identidades de varias cuentas que le permitirían alternar o recopilar correos electrónicos de su correo diferente. -cajas (Desde entonces, han detenido esto porque era un problema menor de seguridad).

No estoy seguro de la validez de los buzones de correo entre servicios (por ejemplo, una cuenta de Hotmail integrada con un buzón de correo de Gmail). No me parece posible (sin configurar el reenvío de correo o la autenticación consistente) por el cliente o el proveedor de servicios de host. Microsoft, en este caso, tendría que validar su conexión a Gmail cada vez que quisiera recuperar su correo y tendría que hacerlo con una contraseña de texto sin formato.)

Sin embargo, si tiene una aplicación de correo independiente y ha configurado la integración de buzones de correo entre los servicios, proporcionando autenticación para todos ellos, entonces simplemente utiliza su información de autenticación para cada servicio al recuperar el correo.

    
respondido por el Corinthius 17.07.2014 - 11:45
fuente
0

¿Está preguntando cómo un proveedor de servicios de correo electrónico puede recopilar y cosolidar el correo de otros servicios en un buzón de correo? Bueno, casi de la misma manera que usted mismo inicia sesión en la mayoría de los servicios: no, no almacenan su contraseña en su extremo o en cookies. En su lugar, almacenan el ID de sesión u otro token de seguridad.

Al igual que su navegador obtiene dicho token al iniciar sesión y lo envía de vuelta al sitio para permitirle iniciar sesión al día siguiente sin escribir su nombre y contraseña, el servicio de recopilación puede usar dicho token para emitir comandos a otros proveedores de correo electrónico en su nombre después de la autenticación. solo una vez.

    
respondido por el Oleg V. Volkov 04.02.2016 - 13:10
fuente

Lea otras preguntas en las etiquetas