[請益] 這算不算重大的資安問題啊？

作者Deltaguita (貝里斯)

看板Soft_Job

標題[請益] 這算不算重大的資安問題啊？

時間Wed Jun 16 09:11:20 2021

各位大大好：我發現在嚴重特殊傳染性肺炎企業紓困的網站 https://csm-subsidy.cdri.org.tw/smeapply110/outweb/buyapply/online/forget.aspx 只要輸入統一編號、聯絡人、電子信箱就會直接把密碼以明碼的形式寄到信箱。 (而且是舊密碼) 我印象密碼是不能以明碼方式儲存的，而且直接以明碼寄送更是不可以不知道這個該去哪裡反應？算嚴重的資安問題嗎？ https://upload.cc/i1/2021/06/16/HDzali.png

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.217.102 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1623805883.A.61A.html ※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 09:12:22

→ play714: it 天才唐鳳你敢嘴？ 06/16 09:12

→ Deltaguita: 不一定是唐鳳弄的吧，我覺得他已經不會實做到這麼細的 06/16 09:17

→ Deltaguita: 功能了 06/16 09:18

→ umum29: 這個是外包的嗎?可以這樣設計喔? 06/16 09:24

推 alihue: 秘密不能以明碼存？ chrome 密碼自動填入表示： 06/16 09:28

→ Deltaguita: chrome 用起來也是有點怕怕的呢 06/16 09:42

推 taipoo: 唐鳳設計的系統跟現實社會脫節太多了 06/16 09:47

→ Deltaguita: 我覺得你們一直cue他，晚點他來回覆留言的機會很高... 06/16 09:48

→ x000032001: chrome至少有加密過好嗎 06/16 09:50

推 abccbaandy: chrome一定要有你的密碼阿，不然怎麼輸入？ 06/16 10:05

→ abccbaandy: 另外如果他傳給你的密碼不是你當初設定的，也許是安全 06/16 10:06

→ abccbaandy: 的 06/16 10:06

是當初設定的喔

→ alihue: 誰不知道 chrome 有加密，但原文意思是說密碼要用 hash 06/16 10:10

→ alihue: 吧 06/16 10:10

印象中儲存跟傳輸都不應該明碼吧? 而且要以不可逆的方式hash，我看電商或是大型網站通常是搭配二階段驗證然後給一個連結讓使用者重新設定一組密碼

推 bill0205: 八成是腦殘官員要求的.... 06/16 10:20

→ bill0205: 明碼傳送不見得是原始密碼如果是才要怕 06/16 10:22

是當初設定的喔

推 k798976869: 確實有點怪 06/16 10:22

→ bill0205: 以前就真的愈過高官要求要寄明碼到信箱但被主管反駁回 06/16 10:23

→ bill0205: 去 06/16 10:23

→ ChungLi5566: 是密碼應該要單獨寄不能跟登入帳號一起 06/16 10:35

這樣是有好一點點，但還是怪怪的XD

→ kuso0516: chrome的存密碼跟網站存使用者的密碼是兩回事.... 06/16 10:35

推 YahooTaiwan: 資安議題通常都是出問題再說啦，能用就好 06/16 10:39

※ 編輯: Deltaguita (1.171.217.102 臺灣), 06/16/2021 10:56:33

→ realbout: 密碼不能查詢只能叫忘記密碼臨時登入後強制改 06/16 10:49

推 IMPOSSIBLEr: chrome的存密碼應該是存在客戶端（希望啦），密碼 06/16 11:04

→ IMPOSSIBLEr: 不應該可以取回應該是直接重設。 06/16 11:04

→ godddddd: 痾...驗證後給一個亂數密碼請他進去後再修改比較好吧 06/16 11:15

→ HKCs: Google都說2FA才是正道了搞一堆限制根本是在防止使用者記 06/16 11:16

→ HKCs: 起來 06/16 11:16

→ ChungLi5566: 要推數位化的話應該順便推無密碼的FIDO 06/16 11:21

推 wahaha279: 如果要求登入就改密碼就是合理的，但如果沒有 06/16 11:29

→ Deltaguita: 即便要求馬上改也不太合適，因為很多人都共用一組... 06/16 11:34

→ petercoin: Google的存密碼一定有上網啦...不然怎麼跨裝置用 06/16 12:01

推 za755188: 他寄新密碼給你還是你的舊密碼阿? 06/16 12:06

→ Deltaguita: 舊密碼 06/16 12:17

推 ctrlbreak: 舊密碼? 現在還有人這樣做喔 XD 06/16 12:21

推 abccbaandy: 那這很嚴重，可以上新聞了...可惜記者應該看不懂這篇 06/16 12:44

→ Deltaguita: 上新聞也還好，一般民眾根本不理解問題在哪裡 06/16 13:20

→ shooter555: 一個factor auth不夠安全就用兩個兩個不夠就三個 06/16 13:35

推 theedge: 推文好精彩抓到一堆人密碼明文放db齁 06/16 14:53

→ theedge: 那間公司報一下準備進攻囉 06/16 14:53

推 bill0205: 原始設定哦.....那真的很可怕 06/16 15:45

推 gs8613789: 2FA才是正解 06/16 15:50

推 yc0015139: 這讓我想到某公司忘記密碼是用簡訊寄明碼怕 06/16 15:50

推 za755188: 舊密碼...這個就如果其他地方有相同密碼的話趕快改吧 06/16 16:14

→ za755188: 這種網站八成都外包隨便做做也是不意外 06/16 16:15

推 alihue: Google 不可能只放 client ，有同步 06/16 16:47

推 for5566: 如果是新戶的話，他可能是產生暫用密碼，加密存資料庫之 06/16 16:51

→ for5566: 前寄給你，不代表沒有加密。如果機忘記密碼他還能寄明碼 06/16 16:51

→ for5566: 給你才是有問題 06/16 16:51

推 pig22022: 理論上DB不能存明碼，能夠decrypt 也是很瞎 06/16 16:56

推 alihue: 其實更可怕的是，下載 edge 可以從 chrome 匯入，包含密 06/16 17:07

→ alihue: 碼的自動完成 06/16 17:07

推 kurtsgm: 新密碼還算可以舊密碼就不太行惹.... 06/16 17:10

→ kurtsgm: 如果是新密碼的話的確有可能先產生寄信然後才hash入DB 06/16 17:10

推 hduek153: chrome那個是方便性你可以決定要不要用但是這個你不 06/16 18:09

→ hduek153: 能決定阿 06/16 18:09

→ lturtsamuel: 是預設的亂碼密碼就沒差吧 06/16 18:10

→ lturtsamuel: 是舊密碼喔XDD 公部門水準不意外 06/16 18:11

→ lturtsamuel: 明碼儲存還昭告天下笑死 06/16 18:12

→ bill0205: 以前有做過明碼傳送密碼但也是一次性而且也encrypt過 06/16 18:16

推 alihue: chrome 其實只是表示不一定要存成 hash，傳輸加密和儲存 06/16 19:24

→ alihue: 加密做好比較重要 06/16 19:24

→ LinuxKernel: 有IT大臣餒 06/16 19:25

推 mathrew: 寄舊密碼超瞎的，那就是明碼儲存阿 06/16 20:44

推 darrenlin: 還好吧如果是 API KEY 也是直接提供給 User 啊 06/16 21:10

→ wawi2: XD 06/16 22:20

推 Xaotic: 存明碼的人比你想像的要多很多 06/16 23:18

推 jinmin88: 看到aspx就直接end 06/17 01:28

→ abc0922001: https 跟憑證，應該是有加密的傳輸吧 06/17 17:46

推 Sawilliam: 公家部門感覺不意外 06/17 23:52

→ Sawilliam: 話說公家部門系統這麼多，我不覺得全部歸一個政委管 06/17 23:53

推 godsparticle: 密碼查詢的確是再試對方的安全機制 06/18 04:59

→ y800122155: 我看過公家單位網站密碼秀在網址的 06/18 13:23

推 acgotaku: 有時效的一次性密碼做信箱/電話身份認證,哪裡不妥了？ 06/18 16:19

推 acgotaku: 我不知道他的步驟是什麼,也沒操作過,但是信箱寄送明碼 06/18 16:23

→ acgotaku: 這太算是嚴重資安問題,不然忘記密碼用two factor auth 06/18 16:25

→ acgotaku: 不是很常見的做法嗎？ 06/18 16:25

→ acgotaku: 而且用信箱寄明碼不代表存資料庫沒有encrypt過 06/18 16:27

→ Deltaguita: 樓上我建議你把推文看完 :) 06/18 16:31

推 jennya: 這不ok耶，的確是該找個地方回報一下 06/18 20:30

→ newversion: 明碼很容易被 timing attack 06/18 21:04

※ 編輯: Deltaguita (1.171.211.169 臺灣), 06/19/2021 17:33:13

→ Deltaguita: 一直都沒人跟我說哪裡可以回報XD 06/19 17:33

推 shter: 這種流程比較像是銀行印密碼書的思維 06/20 00:20

推 go1717: 我是堅持使用不一樣的帳號密碼才不會怕原po這種鳥事^^ 06/20 17:04

→ go1717: 且瀏覽器全程用無痕之類我不會把密碼.自動完成存在瀏覽 06/20 17:04

→ go1717: 器裡…這個動作有資安問題 06/20 17:04

推 sxy67230: 想要搞大一點樓主就用媒體投書。想簡單解決的話，我用 06/23 09:12

→ sxy67230: 網頁上的客服電話反應吧。 06/23 09:12

→ agario: 搜尋一下「我的密碼沒加密」這個網站 06/27 08:36

→ go1717: 一定要使用完全不同的帳密根本就不怕對方沒加密而外流^^ 06/27 11:41

推 Gossiking: 什麼時代了還連hash都沒有 07/04 00:40

推 shimachokong: 寄舊的密碼耶，看來我要小心了 08/02 21:00