FAQ: Опасно ли вводить пароль и e-mail на сайтах?
Ответ — ДА.
Но если детальней, то не все так просто.
На самом деле вводя свой пароль на каком-либо сайте вы полагаетесь исключительно на добросовестность его владельца. Давайте поиграем в Хорошего Вебмастера и Плохого Вебмастера.Хороший Вебмастер
Ситуация с Хорошим Вебмастером: при регистрации вы вводите свой пароль, от которого затем берется хеш и сохраняется в базу.
Что такое хеш? Хеш — это такая строка, которая получается из любого исходного текста с помощью математической хеш-функции, и которая является чем-то вроде «отпечатков пальцев» для него. Достаточно изменить один символ, чтобы поменялся хеш-код.
undsoft -> md5 хеш -> f42b3108d7f0223800ed09cd4bce0ed8 Undsoft -> md5 хеш -> e7f9b0fe821adbf38525ef25ba9fbfd7 Undsoft will conquer the world -> md5 хеш -> a75f18173a5a90143a871c20af0e2982
Из текста можно получить хеш-код, но из хеш-кода нельзя получить исходный текст.
Именно поэтому Хороший Вебмастер применяет хеш-код для хранения ваших паролей у себя на сайте. Он не хранит оригинальный текст вашего пароля у себя в базе данных, он хранит его хеш-код. И в следующий раз, когда вы будете входить на сайт и введете свой пароль, будут сравниваться именно хеш-коды, а не пароли. Если хеш-код только что введенного пароля совпадет с тем хеш-кодом, что хранится в базе, значит пароль правильный, и вы можете войти.
В выигрыше все. Хороший Вебмастер не знает ваш пароль, ведь он нигде не сохраняется. Даже если Крекер взломает сайт Хорошего Вебмастера, он все равно не узнает ничьих паролей, потому что их там просто нет.
Да, для разных исходных текстов, хеш-коды иногда могут повторяться, но вероятность этого слишком мала, чтобы кто-нибудь мог этим воспользоваться.
С e-mail'ом нельзя ничего сделать, поэтому он хранится на сайте Хорошего Вебмастера в том виде, в котором он есть. Если Плохие Дяди получат доступ к базе, то им в руки попадут все адреса зарегистрированных пользователей и они смогут, например, начать слать спам. Но наш Вебмастер на то и называется «Хорошим», чтобы беспокоиться о безопастности вашей информации и делать все, чтобы предотвратить это.
Плохой Вебмастер
Плохой Вебмастер может быть разной степени «плохизны». Он может просто наплевательски относится к проблемам безопасности на своем сайте, в следствие чего Крекер сможет получить пароли и почтовые адреса всех пользователей.
Но может быть и хуже. Плохому Вебмастеру никто не мешает самому воровать ваши пароли. Как часто вы регистрируетесь на каких-нибудь сайтах в Интернете? Я лично делаю это чуть ли не каждый день. Часто это регистрация на один раз, особенно на различных варезных сайтах. Зарегистрировался, скачал, что хотел, и забыл. Если на одном из этих сайтах мне попадется Плохой Вебмастер, который стащит мой пароль, я никогда об этом не узнаю. Я никогда не узнаю, кто именно это сделал. Никакой ответственности.
У большинства пользователей один пароль на все: на варезные сайты, на почту с важными документами, на ICQ, на страничку Вконтакте. Таким образом, воруя введенный у себя на сайте пароль, Плохой Вебмастер, скорее всего, получит ключик ко всему, чем вы пользуетесь в Сети. Печально, не так ли?
Единственный способ обезопасить себя в этом случае — разные пароли. У меня, например, три разных пароля:
- Один — для всего, что я считаю важным: Webmoney кошелек, хостинг-аккаунт. Это длинный пароль со спецсимволами.
- Второй — для обычного повседневного пользования. Сложности этого пароля достаточно, чтобы использовать его на почте, асе и сайтах, где я часто бываю.
- И третий пароль, который я называю публичным — это пароль для сайтов, которые выглядят не очень надежными. Если на одном из этих сайтов случится «утечка», я не потеряю ничего важного.
Что касается, сохранности почтовых адресов, то тут можно использовать тот же принцип, что и с паролями, если вам хватит терпения для этого. Один адрес для надежных сайтов, другой — для всего остального. Хотя мне кажется, спам будет приходить на оба 