Skąd Netflix zna moje hasło?

8

Ilekroć wchodzę na stronę główną Netflix w Firefoksie, jestem automatycznie zalogowany.

Jednak gdy otwieram listę zapisanych haseł Firefoksa, zauważam, że Netflix nie znajduje się na stronach, na których Firefox przechowuje hasła ( Options -> Security -> Saved Passwords)

Skąd Netflix zna hasło, jeśli Firefox go nie przechowuje i gdzie jest ono przechowywane?

firefox passwords netflix

— Raven Dreamer
źródło

21

Nie rozumiem, która część tego scenariusza sprawia, że myślisz, że znają twoje hasło. Zasadniczo wszystko, co powiedziałeś, to „Właśnie dostałem Chromecasta”. i „Firefox nie zapisał mojego hasła do serwisu Netflix”. Co takiego jest w tych dwóch faktach, które sprawiają, że wierzysz, że Netflix ma twoje hasło? Zgaduję, że to nieporozumienie wynikło z czegoś innego niż to, co wymieniłeś w swoim bieżącym pytaniu. Być może mógłbyś edytować, aby wyjaśnić, czym jest to „coś”?

— Ajedi32,

1

@ Ajedi32 Szczerze mówiąc, właśnie wpadłem w mentalny brak ognia i założyłem, że ponieważ jestem zalogowany za każdym razem, gdy otwieram Netflix, loguje się firefox. Całkowicie zapomniałem, że ciasteczka to coś.

— Raven Dreamer

4

W rzeczywistości Chromecast jest całkowicie nieistotny.

— David Z

@DavidZ Chyba że ktoś miał informacje na temat korzystania z niego za pośrednictwem przeglądarki Firefox ... tak.

— Raven Dreamer

@RavenDreamer To byłoby inne pytanie; tak bez znaczenia, niezależnie od tego.

— OJFord,

31

Aby odpowiedzieć na pierwsze pytanie, Netflix nie zna Twojego hasła .

Netflix i każda inna kompetentna witryna to hashowanie hasła przy użyciu schematu jednokierunkowego ( MD5 , SHA-1 , SHA-2 itd.).

To w zasadzie tworzy unikalny szesnastkowy odcisk palca o stałej długości, który identyfikuje ciąg tekstu będący Twoim hasłem. Na przykład, oto jak wygląda moje bezpieczne hasło po haszowaniu za pomocą MD5:

Mieszanie MD5

Przechowują ten skrót w swojej wewnętrznej bazie danych i za każdym razem, gdy logujesz się do Netflix, hasło, które podajesz podczas procesu logowania, jest ponownie haszowane przy użyciu tego samego schematu i jest porównywane z kopią hasła z hasłem przechowywaną w ich bazie danych.

Jeśli się zgadzają, wiedzą, że wpisałeś poprawne hasło i masz dostęp. Jeśli nie, nie jesteś uwierzytelniony. Dlatego po kliknięciu jakiejś odmiany linku Zapomniałem hasła nie wysyłają one starego hasła, a raczej proszą o wybranie nowego. To dlatego, że nie wiedzą, jakie jest twoje hasło.

Jak się więc zalogować, jeśli Firefox nie przechował hasła do Netflix?

Odpowiedzią na to są sesyjne pliki cookie . Po zalogowaniu się do serwisu Netflix (może jakiś czas temu) być może pamiętasz sesję.
Zapamiętaj mnie?

Jeśli tak, Firefox przechowuje na twoim komputerze niewielką ilość informacji, które jednoznacznie Cię identyfikują za każdym razem, gdy odwiedzasz Netflix. Te „ciasteczka”, jak się je nazywa, zazwyczaj trwają przez krótki czas, dopóki sesja nie jest aktywna, a następnie wygasają. Niektóre jednak mogą trwać tygodnie lub dłużej. Usuń ten plik cookie, a Netflix Cię nie zapamięta.

Pliki cookie Netflix

Jeśli chodzi o twoje drugie pytanie, jeśli Firefox nie „pamięta” hasła, nie jest ono nigdzie przechowywane. Przechowywane jest ciasteczko. Firefox przechowuje je w folderze Profile w pliku, cookies.sqlitektóry jest plikiem bazy danych SQLite .

Na koniec, jeśli zdecydujesz się zalogować za pomocą swojego konta na Facebooku, nie potrzebujesz hasła, więc Firefox nie będzie go przechowywać.

zaloguj się za pomocą Facebooka

Jednak nadal będzie tworzone ciasteczko, aby zidentyfikować twoją sesję.

— Vinayak
źródło

23

MD5 jest jednokierunkowy, ponieważ jest funkcją skrótu. Powiedzenie, że to nie oznacza, że można w jakiś sposób uzyskać oryginalne dane z skrótu MD5 za pomocą procesu kryptograficznego. Nie możesz Wspomniane narzędzia mogą „odwrócić” skrót tylko dlatego, że zainwestowali znaczną moc komputera w brutalną siłę wszelkiego rodzaju kombinacji haseł, aby uzyskać oryginalny ciąg hasła. To nie znaczy, że MD5 jest odwracalny. Hashowanie różni się od szyfrowania, w którym można odszyfrować dane, jeśli masz klucz. Również z haszowaniem, bez względu na to, jak długo wejście, wyjście zawsze ma stałą długość.

— Vinayak

16

@Derek 朕會功夫 MD5 jest kryptograficznie „zepsuty”, ale dotyczy kolizji , a nie obrazów wstępnych (które mają znaczenie dla haseł). MD5 jest również zły dla haseł, ale dzieje się tak dlatego, że jest szybki , więc możesz brutalnie wymusić wiele haseł w krótkim czasie (i to samo w przypadku bardziej nowoczesnych funkcji skrótu, takich jak SHA-2 i SHA -3). Zobacz crypto.stackexchange.com/a/28/58 .

— Paŭlo Ebermann

9

Muszę głosować tylko za przykładem MD5, jakkolwiek dobra może być reszta odpowiedzi. To po prostu nie jest coś, co chcesz przeczytać w 2014 roku (wkrótce 2015). Nigdy nie było dobrym pomysłem używanie surowego MD5 (nawet z solą) do przechowywania haseł, a większość ludzi zdawała sobie z tego sprawę w ciągu ostatnich 10 lat. -1

— Thomas

8

@ Thomas Przepraszam, że tak się czujesz, ale moja odpowiedź nigdy nie powinna być przewodnikiem wyboru najlepszego schematu mieszania. SuperUser nie jest StackOverflow i to mu się podoba, czy nie, MD5 nadal jest kryptograficzną funkcją skrótu, więc nie rozumiem, co jest złego w wyjaśnianiu, co to jest skrót na przykładzie MD5.

— Vinayak

7

@kasperd „W rzeczywistości do dziś użycie pojedynczego wywołania MD5 z użyciem soli jest nadal bezpieczne dla użytkowników, którzy używają dobrych haseł”. Nie. Nie rozpowszechniaj błędnych informacji. Pojedyncze wywołanie MD5 jest całkowicie nieodpowiednie.

— Ayrx,

10

Netflix - podobnie jak większość innych witryn - nie dba o hasło podczas normalnego przeglądania. Zamiast tego po zalogowaniu Netflix zapisuje w przeglądarce plik „cookie” z identyfikatorem sesji logowania. Przeglądarka wysyła ją z powrotem za każdym razem, gdy żąda nowej strony. (Podobnie, przechowywanie haseł w przeglądarce Firefox nie jest używane podczas normalnego przeglądania, ale tylko do automatycznego wypełniania pola hasła na stronach logowania.)

Sesyjne pliki cookie są zazwyczaj generowane losowo i nie mają żadnego związku z twoim loginem lub hasłem - tylko sam Netflix może połączyć je z twoim kontem.

Aby je zobaczyć, kliknij stronę prawym przyciskiem myszy, wybierz „Wyświetl informacje o stronie”, aw obszarze „Bezpieczeństwo” kliknij „Wyświetl pliki cookie”.

— użytkownik1686
źródło

5

Z Netflix nie ma nic złego. Podobnie jak prawie wszystkie strony internetowe, na które możesz się zalogować, przechowuje on plik cookie na twoim komputerze, który między innymi przechowuje zaszyfrowane dane reprezentujące twoje hasło.

Czy nie widziałeś takiego samego zachowania w Google, Facebook, Yahoo, Windows Live i na jakimkolwiek innym koncie, o którym myślisz?

Niektóre usługi internetowe mogą wykorzystywać pliki cookie, które są ważne tylko przez krótki czas lub tylko w bieżącej sesji (na przykład Yahoo i Facebook, chyba że wybierzesz opcję Zapamiętaj mnie na tym komputerze ). Ale najwyraźniej Netflix używa plików cookie, które są ważne przez dłuższy okres czasu, co powoduje, że jesteś zalogowany, chyba że usuniesz historię przeglądarki - zwłaszcza pliki cookie.

Teraz możesz pytać o sposób przechowywania haseł w przeglądarce. To bardzo proste. Jeśli wylogujesz się z Netflix (lub cokolwiek innego), plik cookie zostanie usunięty. Jeśli chcesz się zalogować, musisz podać zarówno nazwę użytkownika konta, jak i hasło. Jeśli hasło zostało zapisane w przeglądarce, automatycznie wypełni to pole po wpisaniu nazwy użytkownika.

— Cornelius
źródło

10

Wyjaśnienie - pliki cookie nie zawierają żadnych danych reprezentujących hasła. Zamiast tego zawierają losowe dane identyfikujące sesję powiązaną z Twoim kontem. Sesje są przechowywane na serwerze.

— ntoskrnl

0

Czy sprawdziłeś swoje pliki cookie? Twoje hasło lub zaszyfrowana kopia hasła może tam być.

— hymie
źródło

5

Byłby to bardzo niepewny projekt. Powszechną praktyką jest używanie sesyjnego pliku cookie, który w żaden sposób nie jest powiązany z hasłem.

— kasperd

Tak naprawdę nie ma znaczenia dokładnie, co tam znajdzie. Powinien sprawdzić swoje ciasteczka.

— hymia