Wie kennt Netflix mein Passwort?

8186
Raven Dreamer

Immer wenn ich in Firefox auf die Netflix-Hauptseite gehe, bin ich automatisch angemeldet.

Wenn ich jedoch die Liste der gespeicherten Passwörter von Firefox öffne, stelle ich fest, dass Netflix nicht zu den Sites gehört, für die Firefox Passwörter speichert ( Options -> Security -> Saved Passwords).

Wie erkennt Netflix das Kennwort, wenn Firefox es nicht speichert, und wo wird es gespeichert?

8
Ich kann nicht erkennen, zu welchem ​​Teil dieses Szenarios Sie glauben, dass sie Ihr Passwort kennen. Im Grunde haben Sie nur gesagt: "Ich habe gerade einen Chromecast bekommen." und "Firefox hat mein Netflix-Passwort nicht gespeichert." Worum geht es bei diesen beiden Fakten, dass Sie glauben, dass Netflix Ihr Passwort hat? Ich vermute, dieses Missverständnis ist auf etwas anderes als das zurückzuführen, was Sie in Ihrer aktuellen Frage angegeben haben. Vielleicht könntest du bearbeiten, um zu erklären, was das "Etwas" ist? Ajedi32 vor 9 Jahren 20
@ Ajedi32 Ehrlich gesagt hatte ich gerade ein mentales Aussetzer, und davon ausgegangen, dass ich, wenn ich Netflix öffne, immer Firefox war, um sich einzuloggen. Völlig vergessen, dass Cookies eine Sache waren. Raven Dreamer vor 9 Jahren 1
In der Tat ist der Chromecast völlig irrelevant. David Z vor 9 Jahren 4
@DavidZ Es sei denn, jemand hatte Informationen zur Verwendung durch Firefox ... ja. Raven Dreamer vor 9 Jahren 0
@RavenDreamer Das wäre eine andere Frage; so irrelevant trotzdem. OJFord vor 9 Jahren 0

4 Antworten auf die Frage

31
Vinayak

Um Ihre erste Frage zu beantworten, kennt Netflix Ihr Passwort nicht .

Was Netflix und jede andere kompetente Website dort tut, ist das Hashing Ihres Passworts mithilfe eines Einweg-Hash-Verfahrens ( MD5, SHA-1, SHA-2 usw.).

Dabei wird im Wesentlichen ein eindeutiger hexadezimaler Fingerabdruck mit fester Länge erstellt, der die Zeichenfolge des Textes identifiziert, der Ihr Kennwort ist. Zum Beispiel sieht mein sicheres Kennwort nach dem Hashing mit MD5 so aus:

MD5-Hashing

Sie speichern diesen Hash in ihrer internen Datenbank. Jedes Mal, wenn Sie sich bei Netflix anmelden, wird das Kennwort, das Sie während des Anmeldeprozesses eingeben, erneut nach demselben Schema gehasht und mit der in der Datenbank gespeicherten Kopie des Hash-Kennworts abgeglichen.

Wenn sie übereinstimmen, wissen sie, dass Sie das richtige Kennwort eingegeben und Zugriff gewährt haben. Wenn dies nicht der Fall ist, werden Sie nicht authentifiziert. Wenn Sie also auf eine Variante des Links " Passwort vergessen" klicken, wird Ihnen das alte Passwort nicht gesendet, sondern Sie werden aufgefordert, ein neues zu wählen. Sie wissen auch nicht, wie Ihr Passwort lautet.

Wie werden Sie also angemeldet, wenn Firefox das Kennwort für Netflix nicht gespeichert hat?

Die Antwort darauf sind Session-Cookies . Wenn Sie sich bei Netflix angemeldet haben (möglicherweise vor einer Weile), haben Sie sich möglicherweise dafür entschieden, Ihre Sitzung zu speichern.
Erinnere dich an mich?

Andernfalls speichert Firefox auf Ihrem Computer ein kleines Leckerbissen, das Sie bei jedem Besuch von Netflix eindeutig identifiziert. Diese sogenannten "Cookies" bleiben im Allgemeinen für eine kurze Zeit erhalten, bis die Sitzung aktiv ist und dann abläuft. Einige können jedoch Wochen oder länger dauern. Löschen Sie diesen Cookie und Netflix kann sich nicht an Sie erinnern.

Netflix-Cookies

In Bezug auf Ihre zweite Frage wird Firefox nicht überall gespeichert, wenn sich Firefox nicht an das Kennwort "erinnert". Was gespeichert wird, ist der Cookie. Firefox speichert sie im Ordner Profile in der Datei, cookies.sqlitedie eine SQLite- Datenbankdatei ist.

Wenn Sie sich dazu entschieden haben, sich über Ihr Facebook-Konto anzumelden, benötigen Sie kein Passwort, und Firefox speichert es nicht.

Mit Facebook einloggen

Es wird jedoch immer noch ein Cookie erstellt, um Ihre Sitzung zu identifizieren.

MD5 ist nicht mehr wirklich "Einweg". Mit Tools wie Google und mehreren anderen Datenbanken, die alle Kombinationen vorberechnet haben, können Sie Ihre ursprüngliche Zeichenfolge problemlos wieder herstellen. Die Passwortprüfung ist heutzutage ein ziemlich komplexer Vorgang. Derek 朕會功夫 vor 9 Jahren 2
MD5 ** ist ** Einweg, weil es eine Hash-Funktion ist. Wenn Sie sagen, dass dies nicht der Fall ist, könnte dies bedeuten, dass Sie die Originaldaten durch einen kryptografischen Prozess irgendwie von einem MD5-Hash erhalten könnten. Du kannst nicht Die Tools, die Sie erwähnen, können den Hash nur "umkehren", weil sie beträchtliche Computerkraft aufgewendet haben, um alle Arten von Kennwortkombinationen brutal zu erzwingen, um an die ursprüngliche Kennwortzeichenfolge zu gelangen. Dies bedeutet nicht, dass MD5 reversibel ist. Hashing unterscheidet sich von Verschlüsselung, bei der Sie die Daten entschlüsseln können, wenn Sie den Schlüssel haben. Auch beim Hashing, egal wie lang die Eingabe ist, ist die Ausgabe immer eine feste Länge. Vinayak vor 9 Jahren 23
Wenn ich also einen MD5-Hash aus einem sehr großen Datensatz generieren würde (z. B. einer 15 Kilobyte-Klartextdatei - was nur Text ist, also könnte man es als ein extrem langes Passwort vorstellen), würde ich trotzdem damit enden ein Hash, der 32 Byte lang ist. Ich glaube nicht, dass ein Computer der Welt diesen Hash "umkehren" kann, um die ursprüngliche Klartextdatei neu zu erstellen. Vinayak vor 9 Jahren 2
Es ist offensichtlich, dass das Hashing nicht reversibel sein soll. Allerdings kann ein altes oder schlechtes Design leicht rückgängig gemacht werden, z. B. das Entschlüsseln eines verschlüsselten Strings. Daher verwenden Unternehmen MD5 nicht zur Kennwortprüfung, sondern nur zur Überprüfung von Dateien. Derek 朕會功夫 vor 9 Jahren 0
@Derek 朕 會 功夫 Ich stimme zu. MD5 ist nicht sicher genug, um Benutzerkennwörter zu speichern, da die Berechnung von MD5-Hashes weniger zeitaufwändig ist als die Berechnung von SHA-2-Hashes, weshalb ein Angriff auf MD5-Hashes wahrscheinlich immer noch möglich ist. Es ist nicht gut genug, um schwache Passwörter wie ** `password` ** zu speichern, aber SHA-2 würde auch nicht viel helfen, wenn Benutzer Wörterbücher in ihren Passwörtern verwenden. Vinayak vor 9 Jahren 0
@Derek 朕 會 功夫 MD5 ist kryptografisch "kaputt", aber hier handelt es sich um ** Kollisionen **, nicht um Vorbilder (was für Passwörter wichtig ist). MD5 ist auch für Kennwörter ungeeignet. Dies liegt jedoch daran, dass es ** schnell ** ist, sodass Sie viele Kennwörter in kurzer Zeit brutal erzwingen können (und dies gilt auch für modernere Hash-Funktionen wie SHA.) -2 und SHA-3). Siehe http://crypto.stackexchange.com/a/28/58. Paŭlo Ebermann vor 9 Jahren 16
Ich muss nur für das MD5-Beispiel nach unten stimmen, wie gut der Rest der Antwort auch sein mag. Dies ist einfach nicht etwas, was Sie 2014 lesen möchten (bald 2015). Es war nie eine gute Idee, rohes MD5 (selbst mit einem Salz) zum Speichern von Passwörtern zu verwenden, und die meisten Leute haben dies im Laufe der letzten 10 Jahre erkannt. -1 Thomas vor 9 Jahren 9
@Thomas Es tut mir leid, dass Sie sich so fühlen, aber meine Antwort sollte niemals ein Leitfaden für die Auswahl des besten Hash-Schemas sein. SuperUser ist kein StackOverflow und MD5 ist immer noch eine kryptografische Hash-Funktion. Ich kann also nicht erkennen, was falsch ist, wenn man am Beispiel von MD5 erklärt, was ein Hash ist. Vinayak vor 9 Jahren 8
Ihr Jungs benutzt zwei verschiedene Definitionen des Begriffs "Einweg". Es gibt die [mathematische Definition] (http://mathworld.wolfram.com/Many-to-One.html), die einfach "nicht injektiv" bedeutet, und dann die [Informatik-Definition] (http: //en.wikipedia) .org / wiki / One-way_function), was "kryptografisch sicher" bedeutet. Bei der Diskussion kryptografischer Hashfunktionen verwenden wir immer die zweite Definition, daher ist die Anweisung "MD5 ist nicht mehr einseitig" korrekt. BlueRaja - Danny Pflughoeft vor 9 Jahren 3
@Thomas Die Verwendung eines Salt und eines einzigen Aufrufs von MD5 ist viel sicherer als die Methode, die vor der Einführung des MD5-Ansatzes üblich war. Tatsächlich ist die Verwendung eines einzigen Aufrufs von MD5 mit einem Salt bis heute für Benutzer sicher, die gute Kennwörter verwenden. Stärkere Algorithmen kommen ausschließlich den Anwendern zugute, die keine guten Passwörter wählen können. Niemand, der heute ein neues System entwickelt, sollte sich auf etwas Schwächeres als SHA2 verlassen. kasperd vor 9 Jahren 0
@kasperd "Und tatsächlich ist die Verwendung eines einzigen Aufrufs von MD5 mit einem Salt bis heute für diejenigen Benutzer sicher, die gute Kennwörter verwenden." Bitte verbreiten Sie keine falschen Informationen. Ein einmaliger Aufruf von MD5 ist völlig unzureichend. Ayrx vor 9 Jahren 7
@ TerryChia Hier ist ein gesalzener Hash von meinem Passwort. Und wenn man die Stärke kennt, bin ich nicht im geringsten besorgt darüber, dass der gesalzene Hash öffentlich bekannt ist: $ 1 $ 6kXWoBde $ ycaVUKClUGuqnugceZVn..`. Tatsächlich bin ich so zuversichtlich, dass ich Ihnen sogar eine ungesalzene MD5 mit demselben Passwort zeigen kann. `888adeb452573003f3ea87f2b9f817ca`. Ich kann Ihnen versichern, dass niemand herausfinden wird, was dieses Passwort ist. MD5 ist für ein Passwort der verwendeten Stärke ausreichend. Schwächere Passwörter sind nicht so sehr, aber ich wähle keine schwachen Passwörter. kasperd vor 9 Jahren 3
@kasperd * Die meisten Benutzer * haben keine starken Kennwörter mit mehr als 20 Zeichen und verwenden dasselbe Kennwort an verschiedenen Stellen. Aus diesem Grund benötigen wir diese langsamen Kennwort-Hashing-Funktionen im Allgemeinen. Wenn alle ein starkes Passwort hätten und niemals dasselbe auf zwei Websites wiederverwenden würden, könnten Sie sogar argumentieren, dass Sie überhaupt kein Salz brauchen. In der realen Welt ist dies jedoch nicht der Fall. Daher muss sich fast jedes reale System auf die Mehrheit der Benutzer einstellen, die "keine guten Passwörter wählen können". Daher ist die Verwendung von MD5 + Salt-Passwort-Hashsystemen fragwürdig (oder eine akademische Übung). Thomas vor 9 Jahren 0
@kasperd: Kollisionen können erzeugt werden [on-demand für MD5] (http://www.crypto-hash.fr/modules/wfdownloads/singlefile.php?cid=13&lid=14), wodurch es völlig unsicher wird. Beachten Sie, dass dies nicht die gleiche Sicherheitsanfälligkeit wie "Herausfinden Ihres Passworts" ist. Ihr Argument ist ein Strohmann (http://en.wikipedia.org/wiki/Straw_man). Bitte hör auf, falsche Informationen zu verbreiten. BlueRaja - Danny Pflughoeft vor 9 Jahren 0
@ BlueRaja Ich bin nicht derjenige, der falsche Informationen verbreitet. Die Behauptung, es sei nie eine gute Idee gewesen, MD5 für das Passwort-Hashing zu verwenden, ist einfach falsch. Der Standardalgorithmus für das Hashing von Passwörtern mit MD5 wurde vor der ersten Sicherheitsanfälligkeit in MD5 veröffentlicht. Außerdem war dieser Algorithmus wesentlich stärker als die Algorithmen, die er ersetzte. Wir haben heute bessere Algorithmen, daher sollte kein neues System MD5 verwenden. Es ist jedoch eine Tatsache, dass das MD5-basierte Passwort-Hashing noch nicht gebrochen wurde. kasperd vor 9 Jahren 0
Dieses Argument ist nicht konstruktiv. Bei der Frage ging es nicht um Hashing. Wenn Sie die Antwort verbessern möchten, tun Sie dies - die Argumentation, ob das Beispiel angemessen ist oder nicht, ist sinnlos. Ich würde jedoch zuerst nachforschen, was Netflix verwendet (wenn es öffentlich bekannt ist), da dies für die eigentliche Frage am relevantesten wäre. zeel vor 9 Jahren 1
10
grawity

Netflix kümmert sich - wie die meisten anderen Websites - beim normalen Surfen nicht um Ihr Passwort. Stattdessen speichert Netflix bei der Anmeldung im Browser ein "Cookie" mit der Anmeldesitzungs-ID. Der Browser sendet es jedes Mal zurück, wenn er eine neue Seite anfordert. (Ebenso wird der Kennwortspeicher in Firefox nicht beim normalen Surfen verwendet, sondern nur zum automatischen Ausfüllen des Kennwortfelds auf Anmeldeseiten.)

Die Session-Cookies werden in der Regel nach dem Zufallsprinzip generiert und haben keinen Bezug zu Ihrem Login oder Passwort. Nur Netflix kann es mit Ihrem Konto verknüpfen.

Um sie anzuzeigen, klicken Sie mit der rechten Maustaste auf die Seite, wählen Sie "Seiteninformationen anzeigen" aus und klicken Sie unter "Sicherheit" auf "Cookies anzeigen".

5
Cornelius

Mit Netflix stimmt nichts. Wie fast alle Websites, auf denen Sie sich anmelden können, wird ein Cookie auf Ihrem PC gespeichert, in dem unter anderem verschlüsselte Daten für Ihr Kennwort gespeichert werden.

Haben Sie nicht dasselbe Verhalten bei Google, Facebook, Yahoo, Windows Live und Ihrem Konto festgestellt?

Einige Webdienste verwenden möglicherweise Cookies, die nur für einen kurzen Zeitraum oder nur in der aktuellen Sitzung gültig sind (z. B. Yahoo und Facebook, es sei denn, Sie wählen die Option Auf diesem Computer merken). Anscheinend verwendet Netflix jedoch Cookies, die über einen längeren Zeitraum gültig sind. Dadurch bleiben Sie angemeldet, es sei denn, Sie löschen Ihren Browserverlauf - insbesondere Cookies.

Nun werden Sie möglicherweise gefragt, was der Kennwortspeicher im Browser verwendet. Das ist sehr einfach. Wenn Sie sich von Netflix abmelden (oder was auch immer), wird der Cookie gelöscht. Wenn Sie sich wieder anmelden möchten, müssen Sie den Benutzernamen und das Kennwort des Kontos eingeben. Wenn Sie Ihr Kennwort im Browser gespeichert haben, wird dieses Feld automatisch ausgefüllt, wenn Sie den Benutzernamen eingeben.

Erläuterung: Cookies enthalten keine Daten, die Passwörter darstellen. Sie enthalten vielmehr zufällige Daten, die eine mit Ihrem Konto verknüpfte * Sitzung * identifizieren. Die Sitzungen werden auf dem Server gespeichert. ntoskrnl vor 9 Jahren 10
0
hymie

Haben Sie Ihre Cookies überprüft? Möglicherweise ist Ihr Kennwort oder eine verschlüsselte Kopie Ihres Kennworts vorhanden.

Das wäre ein schrecklich unsicheres Design. Üblich ist es, ein Session-Cookie zu verwenden, das in keiner Weise mit dem Passwort zusammenhängt. kasperd vor 9 Jahren 5
Es ist nicht ganz spezifisch, was er dort findet. Er sollte seine Kekse überprüfen. hymie vor 9 Jahren 0

Verwandte Probleme