為什麼密碼不能用 Email 傳送?

小心有人偷看

就在上篇密碼查得到就不是密碼了發表之後,網友提供了一個我的密碼沒加密的網站,該位站長很熱心地幫忙測試台灣各大網站是否用明碼儲存密碼資訊

而所用的方法很簡單:去註冊一個帳號看註冊通知信有沒有在Email裡面明明白白的寫出你的密碼,如果有的話很有可能那個站就是用明碼儲存密碼的

再來是使用網站所提供的忘記密碼功能:讓你用註冊時所填的信箱取回/重設密碼,如果網站用Email傳送密碼給你的話,那我們就可以確定那個網站就是用明碼來儲存密碼的

為什麼可以這樣確認呢?我們先來瞭解正確的

密碼儲存流程

  • 由使用者輸入密碼(例:"123456")
  • 系統將密碼依設定的編碼方式(MD5,AES,SHA等)轉換成亂數(例:"f447b20a7fcbf53a5d5be013ea0b15af")
  • 將此亂數存入資料庫中

而此一編碼(加密)的演算法應該是不可逆的,所以我們上一篇會說系統管理員是不會知道你密碼的,因為他查到的會是編碼之後的亂數

可是你可能會有疑問:如何確認你輸入的密碼是對的呢?

那就要再來瞭解一下

密碼取回流程

  • 由使用者提供密碼
  • 系統將密碼依設定的編碼方式轉換成亂數
  • 將此亂數與資料庫所儲存的比對看是否吻合?
  • 對 -> 過關,錯 -> 顯示密碼錯誤請重新輸入

所以如果網站直接寄送密碼給你,那一定就是用明碼儲存密碼,或是用可逆的演算法編碼,而這兩種情形都是可以讓系統管理員或是駭客很容易解出你的密碼,這樣子瞭解前面提到的網站為什麼用這個方式來測試的嗎?

為什麼密碼不能用 Email 傳送?

人人看得到的 Email

而這一篇文章還要再提醒大家 Email 的安全也有很大的問題,因為 Email 也是用明碼傳送的!

話說大家現在用的 Email 是30幾年前所建立的規範,整個 Email 傳送及接收共有兩個重要的協定:

  • 第一個是寄信的協定:SMTP簡單郵件傳輸協議:這個就像是郵局的郵筒負責收信的
  • 第二個是派信的協定POP3郵局協定,這就像郵差一樣負責將郵件送到你家(現在還有新的協定 IMAP,但是很少人用)

因為在30幾年前大家的網路安全觀念還不夠,而且當初所設定的模型尺度也只是在學校當中寄送訊息而已,沒有大到現在全世界都在用的規模,所以跟本沒想到郵件要加密這件事!

而這當中雖然有幾次的改進,但是為了與舊系統相容,所以 Email 在主機和主機之間,還有從主機取信的傳送過程跟 HTTP 網頁協定一樣也都是明碼傳送的,這樣子你敢說你的 Email 是安全的嗎?

延伸閱讀:鳥哥的 Linux 私房菜

郵件資料在網際網路上面傳輸時,透過的 SMTP, POP3, IMAP 等通訊協定,通通是明碼傳輸的!尤其 POP3, IMAP 這兩個通訊協定中,使用者必須要輸入帳號/密碼才能收受信件!因為涉及帳密,所以當然加密這兩個通訊協定的資料較佳! 於是就有了 POP3s, IMAPs 通訊協定出現了!透過 SSL 加密嘛!那你會問,既然已經有 pop3s, imaps 了, 那有沒有 smtps 呢?答案是,當然有!只不過沒人用!

而事實上如果你是用老一代的用戶端程式(Outlook,Outlook Express)收信,郵件服務提供者可能也可以讓你用 SSL 加密的安全協定來連線,這樣子就不會有明碼傳送的問題,但是...在一般人是不會去設這個的,因為他們認為只要收得到信就好,加密那麼麻煩幹什麼?

請愛用加密網頁收信

而新一代也是我一直在推廣的收信方法:利用瀏覽器在網頁收信除了可以讓你不被 Email 綁架之外,主流的郵件服務提供者還讓你也可以透過 SSL 加密安全協定來保障信件內容不會外洩

但是以上所說的主流並不包括台灣使用者最多人使用兩個:HiNet跟Yahoo,這兩個郵件服務提供者到現在都還不提供 SSL 網頁連線收信的選項,而大家也都用的很高興,可見大家對自己的隱私有多麼不在乎!

你的郵件服務提供者在乎你嗎?

我們再來看一則兩年前的新聞:駭客土法煉鋼 1年半破解1密碼,外行人看到的是那個當事人真有耐心,花了一年半的時間總算讓他猜到密碼了!

但是真正問題的所在是:那一家郵件服務提供者都沒有任何的警示機制,人家照三餐來猜密碼也不會將帳號鎖定?或者是通知當事人?

這就好像有人拿著你的提款卡每天到提款機猜密碼,而系統都不會將卡吃掉,這樣的銀行你還敢將錢存在裡面嗎?

見微知著,一家網路服務提供業者值不值得你信賴由這種芝麻小事就能知道了!

延伸閱讀:

4 則留言

  1. 我覺得以後E-mail是不是應該改採加密傳輸的方式呢 ? 現在很多隱私文件,例如信用卡帳單還有交易明細等等都用e-mail傳送,可是這些內容都沒加密,這樣是不是很危險呢 ?

    • 我也這樣希望啊
      但是這一天跟IPv6一樣還有得等,不是短時間就轉得過去的
      況且目前也都還沒有看到任何的建議書,所以還是乖乖的先用SSL加密的網頁收信吧

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料