我刚刚在我必须指定敏感信息的网站上注册,例如。我的卡号。我收到了一封确认邮件,我的密码是纯文本。我知道密码永远不应该是纯文本。如果可以,这意味着我的敏感信息也以纯文本形式存储。
我联系了他们的支持,他们声称他们使用加密方法SHA-256作为密码。安全吗?即使加密后仍然可以发送纯文本密码吗?
答案 0 :(得分:1)
即使加密后仍然可以发送纯文本密码吗?
[而不是'加密',这可能是可逆的,你的意思是'哈希',假设使用术语“SHA-256”是正确的。 SHA-256是单向散列,其重点在于它不能直接恢复。]
不,但他们可以想象在您输入密码后直接发送邮件,而不是存储并检索它。
在任何情况下,简单的SHA-256盐渍哈希都被认为是今天存储密码的一种无法理解的弱方式;你希望有一个故意慢的密码散列算法,比如bcrypt。
安全吗?
没有!他们通过公共无保护的电子邮件基础设施向您发送了密码!也就是说,如果有的话,比在数据库中存储明文密码更糟糕......