我的域名注册员是否将我的密码保存在明文中？

Question

大约一年前，我打电话给我的域名注册员(在这里不具名，但不难发现，也是一个主要的提供商)，让他们更改一些DNS设置。在打电话的时候，客服代表让我说出我的密码(一封一封信)来证明我的身份。我突然意识到:我的域名注册员是否将我的密码存储在明文中？如果不是，客户服务代表如何能够知道我的密码是我说的那样？

Answer 1

不幸的是，我们只能推测。鉴于我们对客户服务代表有关您的密码的能力非常有限的信息，有几种可能性。

撇开数据存储方法不谈，客户服务代表需要两件事之一才能验证您的密码：

1. 实际查看存储在其服务器上的密码的能力。
2. 用于输入您提供的密码的应用程序或表单，并在服务器执行比较后收到肯定或否定的响应。

第一种选择需要下列之一，但这两种做法都不是良好的安全做法：

• 密码以明文形式存储。
• 密码使用可逆加密存储。

使用选项2，您可以执行正确的密码咸和散列，同时仍然允许客户服务代表验证它的能力。然而，选项2并不排除使用明文或可逆加密存储选项的可能性。

无论如何，整个方案的最大问题是，无论他们如何验证您的密码，客户服务代表现在都知道您的密码。任何原因都不应该发生这种事。

解决方案:将您的域名注册中心的密码更改为您不使用、也不会在其他任何地方使用的密码。在任何其他站点、系统、服务或应用程序上更改您的密码，如果您使用与您的域注册员相同或类似的密码。最后，寻找一个新的域名注册员。

Answer 2

很明显，所发生的事情并不是理想的安全实践，正如您与之交谈的代理现在知道(如果他们之前不知道)您的用户名/密码。

就存储而言，人们猜测他们将其保存在明文中。考虑到你所说的，这是一种可能性。

但是，如果他们要求您的整个密码，那么可能是代理将其键入一个表单，然后对其进行散列，并将其与存储在文件中的散列进行比较，并将正确/不正确的决定返回给代理。逐个字母的部分可能只是为了确保密码检查中没有打字/拼写错误。