Meebo 等网站如何存储用户名和密码？

Question

我最近使用了 Meebo，我必须承认我对在网站中输入 IM 登录信息有点偏执像这样。 他们如何存储我的每个单独 IM 服务的用户名和密码？ 只有当某个网站获取我的密码并对其执行某种类型的不可逆转的单向功能时，我才会感到放心，但似乎 Meebo 必须以一种可以随时检索密码的方式存储我的密码，以便于自动登录到它们支持的单独 IM 服务。 我对此感到偏执有道理吗？

---

编辑： 我发现以下摘录自 Meebo 的隐私政策：

第三方 IM 服务用户名和密码。 Meebo 允许您通过 Meebo 登录您的帐户来访问第三方 IM 服务（“第三方 IM 服务”）。 为了访问您的第三方 IM 服务帐户，您必须在 Meebo 服务上输入适用的用户名和密码。 为了在网站上使用基本 IM 服务，Meebo 不会在我们的服务器上存储您的第三方 IM 服务帐户的密码。 如果您希望使用服务的高级功能（例如自动登录），可能需要存储您的密码。

Jeff Atwood 不久前在本文中就此主题发表过文章：< a href="http://www.codinghorror.com/blog/archives/001128.html" rel="nofollow noreferrer">请向我们提供您的电子邮件密码。

Answer 1

是的，你是。

Answer 2

1. Meebo 对 Piskvor：请给我您的 IM 密码，我将为您登录。
2. Piskvor 对 Meebo：是“12345”。
3. Meebo 发即时消息：大家好，我是“Piskvor”； 为了证明这一点，我的密码是“12345”
4. IM 到 Meebo：你好，你确实是“Piskvor”； 还有一条来自用户“average”给您的消息。
5. Meebo 致 Piskvor：用户“average”有一条消息给您。
6. （等）

记下第 2 行和第 3 行。为了执行#3，Meebo 需要您的密码； （除非 IM 提供商和 Meebo 之间存在某种合作（这是可能的，但不太可能））它在这些行之间的某个时刻拥有您的明文密码。

恭喜，您不再完全控制您的 IM 帐户； 就 IM 服务而言，Meebo 就是您。

换句话说：您相信 Meebo 不会滥用您的密码吗？ 您信任 Meebo 来保护您的密码吗？ 您相信 Meebo 不会被黑客攻击并且您的密码不会被盗吗？
据我所知，没有办法分辨（除非你是 Meebo，但你不是）。

归结起来就是：你相信 Meebo 的承诺吗？

这是我的 0.02 美元：方便吗？ 查看。 极度缺乏安全感？ 查看。

---

哦，回答标题中的问题：最佳实践是“加密密码，不要将明文保留在任何地方（超过绝对必要的时间）”。 然而，我见过太多带有明文密码字段的数据库； 一些企业显然认为加密是浪费精力，直到发生真正糟糕的事情。 米宝有吗？ 我没有办法告诉。

Answer 3

是的，你说得有道理。 当您将用户名/密码提供给网站（任何网站）时，您真的不知道/保证他们将用它做什么以及他们将如何保护它。

Answer 4

除非他们与每个供应商签订了合同，在合同中创建哈希并仅传递哈希，否则他们将需要存储您的信息。

Answer 5

在 meebo 博客上，他们更详细地讨论了他们的安全功能。 摘要如下：

“我们存储您的 [meebo] 密码的加盐哈希，而不是密码本身。”

“[我们使用您的] Meebo 帐户密码临时解密您的 IM 帐户的密码。我们仅将解密版本保留在内存，当你退出时我们就会忘记解密版本。”

所以这项服务看起来相当安全。 如果您想更加安全，请不要使用您的 meebo 帐户登录，而应使用您的 IM 详细信息登录。

Answer 6

他们在这里解释了如何将数据从浏览器发送到服务器； 提交表单之前在 JavaScript 中进行 RSA 加密。

http://www.meebo.com/security/

编辑：澄清，他们没有指定他们如何存储它，但大概是双向加密，也许以用户的密码作为密钥？

Answer 7

Meebo 使用您的 meebo 帐户密码对您的个人帐户密码进行加密。
您的 meebo 帐户密码已加密。 因此，除非您登录，否则 Meebo 不会知道您的任何密码。
http://blog.meebo.com/?p=2220