¿El almacenamiento de contraseñas no está diseñado para no enmascarar contraseñas?

0

Twitter reveló que sus contraseñas se desenmascararon en los registros internos. Pero corríjame si me equivoco, las contraseñas nunca se desenmascaran, ¿no?

Por ejemplo, si el texto en claro es "contraseña", se almacena como "#masked". Durante la autenticación, la "contraseña" se enmascara a "#masked", y se verifica que enmascarado == se almacena.

Entonces, ¿cómo un proceso interno terminó desenmascarándolos?

    
pregunta Srinath Ganesh 05.05.2018 - 03:26
fuente

2 respuestas

6

Yo especulé sobre las maneras Esto podría suceder en mi blog , pero el problema es que el servidor recibe su contraseña como texto sin formato. (Sí, está en un flujo TLS, pero se descifra antes de ser transferido a la capa de aplicación). Es muy probable que algún tipo de código de depuración se haya activado accidentalmente y que se logre el registro de la solicitud HTTP, un RPC entre microservicios o algún otro forma de producto intermedio.

(probablemente) no era "vamos a registrar la contraseña", pero más bien como "vamos a registrar estas solicitudes JSON serializadas a los servicios backend" y uno de esos servicios resultó ser el backend de autenticación.

    
respondido por el David 05.05.2018 - 05:02
fuente
5

No lo hace. La contraseña está enmascarada en los servidores de Twitter, lo que significa que antes de que estén enmascarados, están en texto sin formato. Twitter registró las contraseñas en el registro antes de que se enmascararan. Por lo tanto, el registro contenía las contraseñas no enmascaradas.

    
respondido por el Peter Harmann 05.05.2018 - 03:30
fuente

Lea otras preguntas en las etiquetas