我只需要登录到大型公用事业公司的网站(作为客户)。
当我单击提交时,我注意到我的密码的哈希已创建并显示在密码框中(选择了显示密码)。
我以前从未注意到过,这是安全问题吗?
非常感谢。
它显示哈希值不是很好。登录的任何人都将能够获取哈希值,并识别用于保护密码的模式和密码,从而更容易遭受黑客和攻击。
[如果可能,我会通过支持告知-例如电子邮件-有关此信息。也许他们甚至都没有注意到,这对于一个没有良好意图的人来说是一个错误,并且可能是一个问题。
希望这可以澄清!
[添加到Jonah Hex的答案中,如果散列是客户端散列,即根据密码计算出的散列,而不是由服务器加盐,那么任何人在观看您的日志(例如,如果您正在共享屏幕会话中,或者在某个随机的人可以在屏幕上拍照的公共场所)拥有您的哈希密码和您的用户名,他们可以使用rainbow table来入侵您的帐户。
如果是加盐的哈希,虽然还不错,但还远非理想。