一般來說, 像銀行、金融服務或者其它類型的網站採用了有問題的密碼策略, 比如只允許6-8位元密碼、大寫字母密碼小寫也可以登錄、電子郵件回復純文字密碼等, 這樣的網站我們大多不會去講, 因為實在說不過來, 而且也有@PWTooStrong 這樣專門講帳號安全性原則的推特。
但是, 最近我看到一個網站的帳號安全做得實在太糟糕了, 讓我沒法不吐槽。 它是Greyhound.com, 屬於北美最老牌的城際巴士運營商Greyhound所有, 1914年成立, 網站提供預定和管理行程等功能。 這個網站完全沒有帳號安全意識, 允許最少4位元密碼(包括1234), 當使用者忘記密碼時,
Greyhound.com的找回密碼郵件
更糟糕的是, Greyhound.com沒有修改密碼功能。 一旦帳號密碼洩漏, 那麼這個帳號幾乎肯定就是永久性洩漏了, 用戶沒有任何辦法。 在上周,
如您所說, 我們將在後續規劃中解決這些問題。 但是需要說明, 在我們網站進行購票時, 使用者的付款資訊任何時候都不會洩漏。
這家公司看起來還是不明白, 很多用戶會在多個網站帳號上使用相同密碼。 以明文形式存儲密碼, 等同於把使用者的所有同密碼帳號都置於險境之中。 而且還不提供修改密碼的途徑, 真是神級疏忽。
除非Greyhound官方將這些最基本的安全問題改進, 否則在上面的使用者資訊可能都有危險。 建議使用者考慮刪除Greyhound帳號裡的所有資料, 並將郵寄地址改為不存在的郵箱, 如formercustomer@example.com。 這也是目前唯一能關閉Greyhound帳號的方法了。
本文翻譯自arstechnica.com/security/2017/05/when-it-comes-to-password-security-greyhound-com-is-truly-awful/, 如若轉載, 請注明原文地址:www.4hou.com/info/news/4550.html