Como a Netflix sabe minha senha?

8

Sempre que vou à página principal da Netflix no Firefox, faço logon automaticamente.

No entanto, quando abro a lista de senhas salvas do Firefox, percebo que o Netflix não está entre os sites em que o Firefox mantém senhas ( Options -> Security -> Saved Passwords)

Como o Netflix sabe a senha se o Firefox não a armazena e onde está sendo armazenada?

firefox passwords netflix

— Sonhador Corvo
fonte

21

Não consigo ver qual parte desse cenário faz você pensar que eles sabem sua senha. Basicamente, tudo o que você disse é "Acabei de receber um Chromecast". e "O Firefox não salvou minha senha do Netflix". O que há nesses dois fatos que fazem você acreditar que a Netflix tem sua senha? Acho que esse mal-entendido surgiu de algo diferente do que você listou na sua pergunta atual. Talvez você possa editar para explicar o que é esse "algo"?

— Ajedi32

1

@ Ajedi32 Honestamente, eu acabei de ter um problema de ignição mental e assumi que, porque estou logado sempre que abro o Netflix, era o firefox fazendo o login. Esqueci completamente que os cookies eram uma coisa.

— Raven Dreamer

4

Na verdade, o Chromecast é completamente irrelevante.

— David Z

@ Davidid A menos que alguém tenha informações sobre como usá-lo através do Firefox ... sim.

— Raven Dreamer

@RavenDreamer Essa seria uma pergunta diferente; tão irrelevante, independentemente.

— OJFord

31

Para responder à sua primeira pergunta, o Netflix não sabe sua senha .

O que a Netflix e qualquer outro site competente existente faz é hash sua senha usando um esquema de hash unidirecional ( MD5 , SHA-1 , SHA-2 , etc.).

O que isso faz é criar essencialmente uma impressão digital hexadecimal de comprimento fixo exclusiva que identifica a sequência de texto que é sua senha. Por exemplo, eis a aparência da minha senha segura após ser hash usando o MD5:

Hash MD5

Eles armazenam esse hash em seu banco de dados interno e, toda vez que você faz login no Netflix, a senha fornecida durante o processo de login é dividida em hash mais uma vez usando o mesmo esquema e é comparada com a cópia da senha armazenada em seu banco de dados.

Se eles corresponderem, eles sabem que você digitou a senha correta e recebeu acesso. Caso contrário, você não será autenticado. É por isso que, quando você clica em alguma variação do link Esqueceu a senha, eles não enviam sua senha antiga, mas pedem que você escolha uma nova. É porque eles também não sabem qual é sua senha.

Então, como você está logado se o Firefox não armazenou a senha do Netflix?

A resposta é cookies de sessão . Quando você se conectou à Netflix (talvez há um tempo atrás), pode ter optado por se lembrar da sua sessão.
lembre de mim?

Se você o fez, o Firefox armazena uma pequena quantidade de informações no seu computador que o identificam exclusivamente sempre que você visita a Netflix. Esses 'cookies', como são chamados, geralmente persistem por um curto período de tempo até que a sessão esteja ativa e expiram. Alguns, no entanto, podem durar semanas ou mais. Exclua esse cookie e o Netflix não lembrará de você.

Cookies da Netflix

Em relação à sua segunda pergunta, se o Firefox não 'lembrar' a senha, ela não será armazenada em nenhum lugar. O que é armazenado é o cookie. O Firefox os armazena na pasta Profiles no arquivo cookies.sqliteque é um arquivo de banco de dados SQLite .

Por fim, se você optou por fazer login na sua conta do Facebook, não precisaria de uma senha e, portanto, o Firefox não a armazenaria.

faça login usando o Facebook

No entanto, um cookie ainda seria criado para identificar sua sessão.

— Vinayak
fonte

23

O MD5 é unidirecional porque é uma função de hash. Dizer que não é isso significaria que você poderia, de alguma forma, obter os dados originais de um hash MD5 por meio de um processo criptográfico. Você não pode. As ferramentas mencionadas podem "reverter" o hash apenas porque elas investiram um poder significativo do computador para forçar brutalmente todos os tipos de combinações de senhas para chegar à string de senha original. Isso não significa que o MD5 seja reversível. O hash é diferente da criptografia, onde você pode descriptografar os dados se tiver a chave. Também com hash, não importa quanto tempo a entrada, a saída é sempre de comprimento fixo.

— Vinayak

16

@Derek MD5 está criptograficamente "quebrado", mas trata-se de colisões , não de pré-imagens (que são importantes para senhas). O MD5 também é ruim para senhas, mas como é rápido , você pode forçar brutalmente muitas senhas em pouco tempo (e isso é o mesmo para funções hash mais avançadas, como SHA-2 e SHA -3). Consulte crypto.stackexchange.com/a/28/58 .

— Paŭlo Ebermann

9

Eu tenho que votar apenas no exemplo MD5, por melhor que seja o resto da resposta. Isso não é algo que você queira ler em 2014 (em breve em 2015). Nunca foi uma boa idéia usar o MD5 bruto (mesmo com sal) para armazenar senhas, e a maioria das pessoas percebeu isso ao longo dos últimos 10 anos. -1

— Thomas

8

@ Thomas Sinto muito que você se sinta assim, mas minha resposta nunca deveria ser um guia para escolher o melhor esquema de hash. O SuperUser não é o StackOverflow e, gostando ou não, o MD5 ainda é uma função de hash criptográfico, então não vejo o que há de errado em explicar o que é um hash no exemplo do MD5.

— Vinayak

7

@kasperd "E, de fato, até hoje, o uso de uma única invocação do MD5 com salt ainda é seguro para os usuários que usam boas senhas." Não. Por favor, não espalhe informações erradas. Uma única chamada do MD5 é completamente inadequada.

— Ayrx

10

O Netflix - como a maioria dos outros sites - não se importa com sua senha durante a navegação normal. Em vez disso, quando você faz login, o Netflix armazena um 'cookie' no navegador com o ID da sessão de login. O navegador envia de volta toda vez que solicita uma nova página. (Da mesma forma, o armazenamento de senha no Firefox não é usado durante a navegação normal, mas apenas para preencher automaticamente o campo de senha nas páginas de login.)

Os cookies de sessão geralmente são gerados aleatoriamente e não têm nenhuma relação com seu login ou senha - apenas o próprio Netflix pode vinculá-lo à sua conta.

Para vê-los, clique com o botão direito do mouse na página, selecione "Exibir informações da página" e, em "Segurança", clique em "Exibir cookies".

— user1686
fonte

5

Não há nada de errado com a Netflix. Assim como quase todos os sites nos quais você pode fazer logon, ele armazena um cookie no seu PC que, entre outras coisas, armazena dados criptografados representando sua senha.

Você não viu o mesmo comportamento no Google, Facebook, Yahoo, Windows Live e em qualquer conta em que possa pensar?

Alguns serviços da Web podem usar cookies válidos apenas por um curto período de tempo ou apenas na sessão atual (por exemplo, Yahoo e Facebook, a menos que você selecione a opção Lembrar-me neste computador ). Mas, aparentemente, a Netflix usa cookies válidos por um longo período de tempo, mantendo-o conectado, a menos que você exclua o histórico do navegador - especialmente cookies.

Agora, você pode estar se perguntando qual é a utilidade do armazenamento de senhas no navegador. Isso é muito simples. Se você sair da Netflix (ou qualquer outra coisa), o cookie será excluído. Se quiser fazer login novamente, será necessário inserir o nome de usuário e a senha da conta. Se você salvou sua senha no navegador, ela será preenchida automaticamente quando você digitar o nome de usuário.

— Cornelius
fonte

10

Esclarecimento - os cookies não contêm dados que representam senhas. Em vez disso, eles contêm dados aleatórios que identificam uma sessão associada à sua conta. As sessões são armazenadas no servidor.

— Ntskrnl

0

Você checou seus cookies? Sua senha ou uma cópia criptografada da sua senha pode estar lá.

— hymie
fonte

5

Isso seria um design terrivelmente inseguro. A prática comum é usar um cookie de sessão que não esteja relacionado à senha de forma alguma.

— kasperd

Realmente não importa exatamente especificamente o que ele encontra lá. Ele deveria checar seus biscoitos.

— Hymie