评论eBay密码策略
2014年5月22日星期四
更新
在Twitter上收到一些评论后,我认为需要补充说明:我使用的是.co.uk网站,通过“My eBay”进入密码重置流程,具体路径是账户菜单->个人信息,其中显示账户类型、用户ID、密保问题,并提供重置密码选项。其他人表示他们重置密码时没有收到链接,也没有遇到粘贴被阻止的情况。我认为这可能揭示了eBay密码策略更令人担忧的一面:他们实际上并没有统一的策略。每个团队似乎都制定了自己的规则,导致用户的安全体验因使用方式而异,这显然不是好事。
如今,每个人都听说了eBay被黑客攻击的事件,我猜大多数人都在尝试更改密码。我刚刚去更改我的密码,最初对他们发送一次性链接来启动更改的过程印象深刻。但之后情况急转直下。
和安全领域的许多人一样,我使用密码管理器,对于这类网站,我的设置是生成30个字符的密码,包含主要字符集的字符。我让密码管理器生成一个新密码并尝试粘贴进去。第一个问题:我无法粘贴。如果你不明白为什么这是个问题,请参考Girl Cynic基于Troy Hunt的文章《禁用密码字段粘贴的“眼镜蛇效应”》制作的优秀视频。
你可以在以下HTML中看到故意阻止粘贴的尝试:
|
|
于是,我使用Firebug删除了这些有问题的条目(必须在确认框中也这样做),并粘贴了一个随机生成的30字符密码:StlkvFqSx"lireFTzidySmTNdMW&x。这是JavaScript强度评估器的反馈:
对于一个政策要求“密码必须至少6个字符,且至少包含以下两种组合:大写字母、小写字母、数字或符号”的网站来说,这似乎有点苛刻。
我决定无论如何提交它,但结果不仅是评估器不喜欢它,网站也拒绝了它。在经历了一瞬间的困惑后,我重新尝试,并注意到之前忽略的一点:再次检查并查看maxlength字段:
|
|
是的,他们将密码限制在20个字符。这在限制条件中没有提到,而在他们自己的“创建和保护密码”页面上,他们声明:
密码越长、越复杂,就越难被猜出。在密码中随机放置数字和标点符号。
我将密码缩短到20个字符并重新提交,这次它被愉快地接受了。我想知道他们为什么限制长度,是因为他们在加密而不是哈希处理吗?除非黑客窃取的数据公开,否则我们可能永远无法知道。
那么,eBay关心用户密码和整体安全吗?从最初的一次性密码链接来看,我认为他们可能关心,而且有人有意识地添加代码来阻止粘贴密码,意味着他们思考过这个问题(虽然得出了错误的结论,但至少思考了),但他们未能实现安全的东西,这在有大量关于如何正确操作的良好信息的情况下,是一种遗憾。
公司通常给出的理由是客户忘记长密码,因此增加支持成本,需要更频繁地重置密码。对于这样的网站,这意味着他们将利润置于用户安全之上。我不知道eBay的具体原因,如果有人有任何见解,请告诉我。
eBay,请与安全社区交流,我们愿意帮助并希望你们做对,你们只需要问。