我的密碼沒加密

「hidomain 申大巨網數據服務中心」密碼沒加密！

2014-02-11T22:32:00.000+08:00

DNS 系列第五篇！

申大巨網成立於 2006 年，hidomain 跟其他同類型廠商一樣提供了網域名稱註冊、虛擬主機、VPS 主機、郵件代管等等。

網站上沒有看到跟資訊安全有關的資訊，所以我們只好自己動手來看啦！

首先我們點一下「登錄」...

全劇終？

我不清楚這個登錄是什麼狀況... 因此以下我們使用網友投稿的頁面來撰寫。

首先註冊一個帳號：

然後我們直接點選「忘記密碼」。

結果信箱中卻收到了原始登入的帳號密碼。

廠商們加油吧！
「hidomain 申大巨網數據服務中心」密碼沒加密！

日期：2014-02-09
名稱：hidomain 申大巨網數據服務中心
網址：http://hidomain.tw/
結果：密碼沒加密

感謝 Anonymous 的投稿！

「網路中文」密碼沒加密！

2014-01-23T13:19:00.000+08:00

DNS 系列第四篇！

「網路中文」同為國內知名的網域名稱註冊商，成立於 2000 年，為首批 TW 域名註冊商。網站上除了註冊網域名稱之外，同時也有代管、網站建置、虛擬主機等服務。

從 2003 年開始就長這個樣子的老牌網站，到底密碼的機制會怎麼設計呢？

首先我們註冊一組帳號，註冊「多國域名管理」。

填寫基本資料，我沒請沒加密先生出場。

確認設定密碼，在這邊我們設定「plainpass」。

註冊信發出！

到信箱點選註冊信。

再次輸入帳號密碼。

這個頁面非常簡單，只有一個 form 而已，一開始我還以為是釣魚網站...

註冊成功了之後，我們來測試一下「忘記密碼」的功能。

只要輸入身分證字號、管理信箱，就可以查詢原本的密碼。

「密碼函已寄到您的管理信箱!!」

聽起來答案已經揭曉了。

在信箱中果然收到了密碼函：「您的管理人密碼如下，密碼：plainpass」

DNS 第四篇，我們對 DNS 服務的密碼機制越來越感到茫然。

「網路中文」密碼沒加密！

日期：2014-01-22
名稱：網路中文
網址：http://www.net-chinese.com.tw/
結果：密碼沒加密

感謝 Richer Yang 的爆料！

[轉載] 3D驗證密碼....這麼好取得? creditcard/批踢踢實業坊

2014-01-22T23:59:00.000+08:00

感謝網友轉貼此文，內容的真實性就請大家自己判斷囉！

http://www.ptt.cc/bbs/creditcard/M.1367419439.A.519.html

「TISNet 大同網際網路」密碼沒加密！

2014-01-13T21:50:00.000+08:00

我的密碼沒加密 DNS 系列第三篇，讓我們來看看「TISNet 大同網際網路」。TISNet 是協志聯合科技在 1996 由大同公司轉投資成立。網站上除了網域名稱之外，還提供了虛擬主機、郵件等整合服務。

先讓我們來看看網站上有關安全的描述，似乎都只有提到請「會員」善加保管密碼，「協志」該如何負責沒有提到。

（四）會員同意妥善保管個人之帳號及密碼，並不得與他人共用；會員並應不定期更新自己密碼，並於使用完服務後確實將帳號作登出動作，以免帳號被他人惡意盜用。

會員有義務妥善保管在協志科技之帳號與密碼，並為此組帳號與密碼登入系統後所進行之一切活動負責。為維護會員自身權益，請勿將帳號與密碼洩露或提供予第三人知悉，或出借或轉讓他人使用。若會員發現帳號或密碼遭人非法使用或有任何異常破壞使用安全之情形時，應立即通知協志聯合科技股份有限公司。但若是因為您的保管疏忽，而導致帳號、密碼遭他人非法使用時，協志科技將不負責處理。

那就讓我們來看看會員的密碼有沒有加密吧。
先讓我們註冊一組帳號，為什麼這些網域名稱申請的網站都喜歡用身分證字號來當帳號呢？

詳細的填寫所有個人資料。
（希望這次 PlainPass 不要再被擋掉了...）

帳號註冊完畢之後，我們接著來看看「會員資料修改」。
赫然發現畫面上大大的四個字「登入密碼」，而且有星號保護。

「各位同學，有星號，代表有加密，對不對？」『零分！』

讓我們檢視原始碼，或者是把 input 屬性的「password」拿掉，就會現出原形了。
連查詢密碼的功能都不用，直接修改個人資料就可以看到原始的密碼了。

當然我們秉持的一貫的原則，還是要來測試一下密碼查詢功能。

輸入我們的身分證字號即可查詢密碼：「我們會將密碼，寄回您原先的預設信箱！！」

密碼已寄出！

不過我們遲遲等不到信件寄過來，希望不會又是另一家把「plainpass」帳號信件另外處理的網站。:P

「TISNet 大同網際網路域名註冊」密碼沒加密！

日期：2014-01-11
名稱：TISNet大同網際網路-域名註冊
網址：http://reg.tisnet.net.tw
結果：密碼沒加密

感謝凍仁翔及 pptpb.tw 的爆料！

「遠傳 Seednet 網域名稱申請」密碼沒加密！

2014-01-07T19:40:00.000+08:00

DNS 系列的第二篇，我們來看看「遠傳 Seednet 網域名稱申請」。

Seednet 是國內非常老牌的 ISP，對於網路發展的貢獻良多。
但是往往「年長」的系統，都會有一些「年長」的設計，就讓我們來看看密碼吧。

首先要有一個帳號，就必須要直接註冊一個域名。
如果花點錢可以知道密碼有沒有加密，也是值得啦。
就讓我們按下「立即申請」吧。

要申請什麼域名好呢？那就來個「plainpass.tw」吧！並且也遵循個人資料保護法喔！

同意條款。

接著是要輸入身分證字號，來開立新帳號，第一次密碼則不用輸入。

填寫基本資料，包括密碼。
密碼當然不能亂填啊，要好好想一個好密碼。

什麼？密碼竟然只能八個字元？
果然是以前的系統會有的設計。

終於申請完畢之後，帳號也開通了。
域名會經過審核付款後才生效。

接著回到首頁「我的域名管理」這邊。
會看到我們域名的狀況、跟個人資料修改部分。

在這邊看到「用戶密碼」，是修改密碼的功能，讓我們進去看看。

什麼！
密碼就這樣直接秀出來了...
實在是令人吃驚...

當然，我們也可以直接用查詢密碼的功能，系統也會乖乖的把密碼寄給我們。

因此我們要很遺憾的說，Seednet 也沒有通過我們的測試。
「遠傳 Seednet 網域名稱申請」密碼沒加密！

日期：2014-01-07
名稱：遠傳 Seednet 網域名稱申請
網址：http://rs.seed.net.tw/
結果：密碼沒加密

感謝 linpc 的爆料！

「PChome Online 網路家庭-買網址」密碼沒加密！

2014-01-06T16:54:00.001+08:00

「PChome Online 網路家庭-買網址」是很多人買網域名稱的選擇，價格便宜、介面友善。但是卻不斷有使用者來信通報：該網站的密碼似乎沒加密？

身為電子商務龍頭，究竟密碼機制安不安全呢？就讓我們來看看吧！

在「隱私權聲明」中寫著：

■ 資料安全

PChome 網路家庭將以合於產業標準之合理技術及程序，維護個人資料之安全。

相當有彈性的一句話，實際背後的安全機制我們無從得知。
無論如何，讓我們來測試看看吧！

首先註冊一個帳號：

很快的帳號註冊完畢了！按下一步即為登入狀態。

點選右邊的「查詢密碼」。

網頁上清楚的寫著：「我們會立即將密碼寄到此E-mail！」
所以結局我們依稀已經看到了。

「已發出密碼通知信」，讓我們趕快去收個信吧。

在信中我們清楚的看到我們的密碼「plainpass」

「PChome Online 網路家庭-買網址」密碼沒加密！

PChome 已經是累犯了喔，如果可以的話請趕快改進架構跟機制吧！

日期：2014-01-05
名稱：PChome Online 網路家庭-買網址
網址：http://myname.pchome.com.tw
結果：密碼沒加密

感謝 Anonymous、Anonymous 以及 Anonymous 的爆料！

「網域名稱購買」、「DNS 代管服務」密碼沒加密系列

2014-01-05T21:36:00.001+08:00

擁有一個好網域名稱（Domain Name）一直都是很多網路玩家的夢想。除了讓自己的網站有個更漂亮的名字之外，甚至透過買賣稀有的網域名稱賺上好大一筆。

台灣也有非常多購買網域名稱的網站，例如「PChome 買網址」、「TWNIC」、「遠傳 seednet」、「中華電信」等等。國外也有很知名的「GoDaddy」、「enom」等。除了購買網域名稱之外，通常也會提供 DNS 代管服務，方便管理者直接在網站上修改網域設定，而不需要自己架設 DNS。

在資訊安全的層面來看，DNS 的重要性非常非常高。日前幾個國際大型駭客攻擊都是針對 DNS，不管是入侵 DNS 修改資料、或者是綁架 DNS 導致一般使用者上網導向到惡意網站。因此此類代管服務的安全性特別重要。

安全性做得好壞，單由使用上是無法確切得知的。但是密碼的機制呢？我們就可以好好的來看一下了。這次的 DNS 系列文我們挑選了國內外幾個大家通報的網域名稱購買、DNS 代管服務，看看他們的密碼機制有沒有好好設計。

敬請期待！

「中華民國路跑協會」密碼沒加密！

2013-12-14T21:20:00.000+08:00

最近非常流行「路跑」，幾乎快要成為全民運動。路跑的資訊在「中華民國路跑協會」都有，因此也非常多人回報：路跑協會的網站疑似沒加密！

讓我們來跟著密碼跑跑看吧！

首先我們到「會員專區」。

網站上有關安全的說明如下：

中華民國路跑協對於您登錄個人資料時的保障

您的會員資料主要是用來處理您的訂單與提供更友善的個人化線上服務，為了提供您權益的完全保障以及減少作業上的困擾，我們麻煩您盡量填寫真實的個人資料。為了讓您減少心中的不安，在此告知您，當中華民國路跑協請您填寫個人相關資料時，該網頁已啟用SSL加密措施，若未經適當的解碼，則任何人試圖在傳輸過程中擷取您的資訊時只會取得無法讀取的亂碼。

傳輸有加密確實很重要，而網站的左上方也掛了大大的標誌：

先不論是否是「全世界最先進的 SSL 128 bit 傳輸加密機制」，SSL 要如何用得安全更是一個大學問。

其一，目前的新版瀏覽器針對 SSL 憑證的網站都會有安全的提示，例如 Google Chrome 瀏覽器上面所寫的：這個網站含有其他不安全的資源。主要是因為並沒有整個網站的所有物件都採用 SSL 傳輸，因此沒有 SSL 傳輸的頁面依舊是不安全的。

其二，該網站並沒有強制在登入的頁面使用 SSL... 因此你沒有主動在網址前面加上「https」是沒用的。這種做半套的安全實在非常可惜。

接著我們來加入會員，填寫資料後加入。
讓我們的沒加密先生來加入路跑的行列吧。

註冊完畢後，竟然要致電或 mail 人工審核資料開通帳號。這實在是有點太過麻煩...

不過沒有關係，我們依舊來測試忘記密碼的功能。
輸入帳號（身分證字號）、姓名、生日。這三筆資料都不難取得，實有遭到竊取的可能。

什麼！
網站竟然就這樣直接乾脆的顯示了沒加密先生原本的密碼...

讓我們再看一次。

此外，還意外的發現...

這測試的結果實在是令人相當哀傷：「中華民國路跑協會」密碼沒加密！

希望該網站能夠多加強資安的強度喔！

日期：2013-11-24
名稱：中華民國路跑協會
網址：http://www.sportsnet.org.tw/
結果：密碼沒加密

感謝 Gdx Wu、Yc Li、罐子的爆料！

「黑貓宅急便」密碼沒加密？

2013-11-24T17:03:00.001+08:00

「黑貓宅急便」是國內配送物流業，會員服務提供訂單管理、常用聯絡人等服務，想必有許多個人資料。

有服務的地方就有帳號，有帳號的地方就有密碼。
到底黑貓宅急便密碼有沒有加密呢？讓我們來看看。

先來試試看密碼忘記的流程吧！

1.按下會員登入

2. 點選忘記密碼

3. 填寫會員帳號、email

4. 帳號密碼已送出

5. 非常快速的送過來了，黑貓宅急便沒有加密

但在其中「個人資料保護聲明」的部份說了：

六、資料安全及保護方法
我們以Secure Sockets Layer（SSL）機制進行資料傳輸的加密，並已加裝防火牆防止不法入侵，避免您的個人資料遭到非法存取。我們並應用亂碼化方式儲存密碼，以確保您的密碼不會遭到非法竊取。

黑貓並沒有說明「亂碼化」的方式為何，但是若使用者可以取回原本的密碼，就代表密碼機制是「可逆」的演算法，駭客若入侵也依舊可以解密取得所有使用者的帳號密碼。

希望黑貓宅急便可以改成「不可逆演算法」將密碼加密。

日期：2013-11-18
名稱：黑貓宅急便
網址：http://www.t-cat.com.tw/
結果：密碼沒加密

感謝 Davihuan 的爆料，梨頭貝兒的投稿！

「爽購 songogo」密碼沒加密！

2013-11-23T21:27:00.000+08:00

感謝 tonypai 的投稿！

「爽購」是提供淘寶跨海購物的平台，服務的內容牽扯到現上金流的交易，但是在會員忘記密碼的處理上卻沒做加密，大喇喇的以明文顯示。

點選忘記密碼

輸入會員email

信件寄出

收到明文密碼...

日期：2013-11-16
名稱：爽購
網址：https://www.songogo.com/
結果：密碼沒加密

本文感謝 tonypai 的投稿！

「智邦生活館網站代管」密碼沒加密！

2013-11-13T21:29:00.000+08:00

「智邦生活館」不知道大家有聽過嗎？我相信只要是有一定網齡的人都一定用過他們的服務。他們提供 Email、網站虛擬主機代管等等。

今天要講的問題是智邦生活館的網站代管服務。
https://hosting.url.com.tw/vhadmin/

首先我們點選「管理登入」

點選「忘記密碼」後，輸入管理者電子郵件信箱。
看著「密碼查詢」的按鈕，好像已經可以知道答案。

「已將您的密碼寄到管理者信箱中。」

信箱果然在一分鐘後收到管理者的密碼。
為了保護爆料者，我們把密碼遮起來，歡迎大家也試試看。

「智邦生活館網站代管」密碼沒加密！

日期：2013-11-12
名稱：智邦生活館網站代管
網址：https://hosting.url.com.tw/vhadmin/
結果：密碼沒加密

感謝 GD、黃小黃的爆料！

「財訊雜誌」密碼沒加密！

2013-11-11T22:24:00.000+08:00

「財訊雜誌」是台灣很資深知名的媒體，目前也有線上服務。

有關個資收集的說明

一、財訊網站對網友個人資料的收集，謹遵守中華民國「電腦處理個人資料保護法」之規範。未經主管機關許可及網友同意，財訊網站不會以電腦蒐集網友個人資料。

讓我們來看看財訊的網站...

同意會員條款。
我有的時候很好奇到底多少人會好好的看會員條款，尤其是國外的網站。XD

請我們的沒加密小姐來註冊囉！

註冊完畢

忘記密碼一下...

「密碼信件已經成功寄出！」

順利的收到我們的密碼啦！

「財訊雜誌」密碼沒加密！

日期：2013-11-11
名稱：財訊雜誌
網址：http://www.wealth.com.tw/
結果：密碼沒加密

感謝 Inndy 的爆料！

「ASAP 閃電購物網」密碼沒加密？ [更新]

2013-11-09T21:35:00.002+08:00

Update: 經網友通報，ASAP 閃電購物網已經將密碼機制改為「重設密碼」。

同為 uitox 的新網站「ASAP 閃電購物網」，有著跟「igarden」一樣的設計，詳見前文。
之前已經有通報過 uitox，就等待他們的修改囉。

我們廢話不多說，直接看圖。

首頁上給使用這的註冊頁面很不友善，你必須得下訂單才有機會註冊。

點選「沒有密碼」就會跳到註冊頁面。這 UX 設計真的很特別...

建立新帳戶

建立完畢後，我們嘗試「忘記密碼」。

上面清楚寫著「我們將會寄發密碼給您」。

密碼已發送

清楚的收到密碼囉！

ASAP 閃電購物網，取回密碼也 ASAP。

日期：2013-11-09
名稱：ASAP 閃電購物網
網址：http://www.asap.com.tw
結果：密碼沒加密

感謝 Richer Yang 的爆料！

「國立台灣科技大學碩博士班甄試招生」密碼沒加密！

2013-11-07T21:49:00.000+08:00

昨天貼了「國立清華大學招生系統密碼沒加密」之後，馬上有人貼給我一堆學校。
看來學校真的是「兵家」必爭之地啊。:P

感謝 Takeshi 的投稿！今天要看的是「國立台灣科技大學」，一樣是招生系統。
因為報名時間已過，我們直接拿 Takeshi 的截圖來說明。

首先，報名已經先註冊好帳號了。接著忘記密碼...

輸入身分證字號

系統提示「請至 xxxx@gmail.com 收信取得密碼！」

就收到你的密碼啦

很遺憾的，台科大也沒使用不可逆演算法儲存密碼。
希望大家多用正確的密碼機制囉！

「國立台灣科技大學碩博士班甄試招生」密碼沒加密！

日期：2013-11-08
名稱：國立台灣科技大學碩博士班甄試招生
網址：https://entry.ntust.edu.tw/03entry1/login.aspx
結果：密碼沒加密

感謝 Takeshi 的爆料！

「國立清華大學招生系統」密碼沒加密！

2013-11-07T12:08:00.001+08:00

感謝 Anonymous 氣憤的爆料：「國立清華大學招生系統」的密碼竟然沒加密！

但可惜目前不在招生期間，無法登入測試。因此僅提供螢幕截圖瞻仰一下。
根據 Anonymous 爆料指出，該招生系統問題不少。與學校溝通過，但成效不彰。

讓我們來看看以下畫面：

「考生修改密碼」的功能，竟然僅用 JavaScript 來比對密碼是否相同？我們都知道，在瀏覽器端（Client Side）的任何防禦，都只是防君子不防小人，頂多讓網頁的機制正確，但是毫無安全性。更何況使用 JavaScript 來驗證兩次密碼是否輸入正確，讓人不經想要嘗試直接關閉 JavaScript 後輸入看會發生什麼事情...

再者，原始的密碼「O_PASSWORD」竟然直接寫在 hidden input 中進行比對... 令人懷疑資料庫中是否都直接存著所有報名學生的密碼？

學校單位一直都是駭客眼中的肥羊：站台多、管理者少、頻寬大、漏洞多，還有滿滿的個資。希望學校單位能夠多注重資訊安全！

「國立清華大學招生系統」密碼沒加密！

日期：2013-11-07
名稱：國立清華大學招生系統
網址：https://www.ccxp.nthu.edu.tw/ccxp/adms/index.php
結果：密碼沒加密

「中華電信如意卡」密碼沒加密！

2013-11-05T11:52:00.000+08:00

感謝 mousems 的投稿，本文轉載自 mousems's blog：「中華電信如意卡密碼沒加密！」

---

今天登場的是中華電信如意卡

站名：中華電信如意卡
網址：https://www.telecity.com.tw

這是首頁

沒加密先生今天要從網站上面加值預付卡，當然要先註冊帳號囉

要填寫的資料還滿多的，沒加密先生耐心的填寫完畢

然後要驗證電子信箱

驗證信很貼心的提醒剛剛輸入的密碼
不過這不能證明沒加密先生的密碼沒加密

驗證成功的頁面也很貼心的提醒密碼

提醒了這麼多次，你也知道的，沒加密先生的記憶力相當差，所以他在十秒後就忘記密碼了...

跳出的提示窗好像透露了什麼訊息

打開信箱後，密碼沒寄來，倒是發現野生的50元折價券，冥冥之中好像告訴沒加密先生不要投稿

既然沒收到信，沒加密先生回去逛逛了修改資料的頁面，發現...其實剛剛根本不用按忘記密碼嘛

過了幾分鐘信終於來了，想當然密碼是沒加密。

日期：2013-11-04
名稱：中華電信如意卡
網址：https://www.telecity.com.tw
結果：密碼沒加密

「uitox - igarden 網路商店」密碼沒加密！

2013-11-04T10:52:00.000+08:00

「igarden 網路商店」是由「uitox 全球電子商務集團」所推出的開店平台：

全新網路開店平台，由 uitox 電子商務集團在台灣建立。提供您10分鐘開店，台北市6小時到貨，全台灣24小時到貨（簽約後），最迅速的開店服務！

非常有潛力以及野心的電子商務平台，也有不少的新聞報導：「PChome前營運長操刀購物平台uitox成軍」，在創業圈、電子商務圈聲勢非常浩大。

但是日前經由網友爆料，uitox 所推出的開店平台密碼竟然沒加密？

這在一個新創網站實在不是一個好現象。讓我們來試看看...

首先註冊實在是太方便了，不管你是用 Facebook 還是直接輸入 Email 跟密碼都可以。
不需要囉嗦的輸入什麼個人資料...

但是網站上並沒有任何有關個資以及資訊安全相關的使用說明，實在令人有點不放心啊。

直接就註冊完成了！

直接從首頁點選忘記密碼...

很乾脆的說「密碼已發送至您所填的 email」！

我們也很乾脆的收到了原本的密碼「plainpass」，不囉嗦！
這應該也是一種便民？

網友的爆料截圖也證明了這一點，只是當時的名字還是「uitox 雲商店」

附帶抱怨一下，測試完畢後我本來想改個密碼，但是卻發現本站完全沒有修改個人資料或者密碼的地方...

身為新創企業，又是電子商務平台，更必須要注意資訊安全啊！

資安的議題非常重要，也嚴重的影響了電子商務的運作。

可以參考資安人的這篇文章：行動上網人口已逾4成資安因素阻礙網路購物、網路金融

然而根據調查指出，74%民眾在上網時最擔心個資外洩，並且有68.8%的上網民眾因為「網站要求輸入個人資料而放棄使用上網服務」的經驗，同時也因考量資訊安全因素，而減少使用網路購物、網路金融服務、網路社群、以及需登入個資的服務。

希望大家能夠多注重資安啊！

「igarden 網路商店」密碼沒加密！

日期：2013-11-04
名稱：uitox - igarden 網路商店
網址：http://instant.uitox.com
結果：密碼沒加密

感謝 appleboy 的爆料！

「長榮航空 EVA AIR」密碼沒加密！

2013-10-21T14:00:00.000+08:00

「長榮航空 EVA AIR」是台灣第二大民用航空業者，也是國際知名的航空。

如同先前「旅遊系列」說寫的，這類型網站通常都提供線上訂票，並且有很多優惠。在出國的旺季這類型的網站使用率非常高。但是這些網站的資安做得怎樣呢？

之前談到「中華航空」的密碼問題，今天我們來看看長榮航空。

首先我們來註冊一組帳號，註冊帳號需要填寫非常多個人資料，在註冊欄位中有寫非常多個人資料使用原則跟資安規則。

其中密碼設定原則大部分都寫得非常好，不要使用容易猜中的字母、出生年月日、電話等，也不要使用跟其他網路服務相同的密碼，不要外洩自己的密碼，這些都是我們一直提倡的重點。

而密碼的長度竟然是「6-8個字元」，這實在是有點短，雖然有要求密碼的複雜度。

另外有一點：

會員如發現本項服務遭第三人盜用，應立即通知本公司。但上述通知不得解釋為本公司對會員有任何形式之賠償或補償之責任或義務。

這樣子好嗎？

接著註冊帳號跟密碼，非常有趣。

密碼的長度跟複雜度前面已經有說明了，「6-8個字元」、「需包含英文及數字，英文大小寫」。但是帳號竟然是「6-25個字元，需包含英文及數字」，為什麼有種帳號比密碼還要安全的感覺？

確認同意會員條款～

途中發生不少插曲，包括突然發現系統維護中。今天是週末啊... 工程師真辛苦(?)。

註冊成功後，馬上回到首頁點選登入->忘記密碼。但是其中密碼查詢需要卡號，所以我們先去查詢卡號。

查詢卡號需要國籍、身分證字號或護照號碼、生日。

來到密碼查詢了，輸入卡號、姓名、國籍、護照號碼、身分證號碼跟生日。

系統寄出郵件。

收到信件啦！的確為我們所設定的「八個字元」「英文大小寫數字混雜」密碼。

希望各大航空、旅遊網站都要把密碼的機制設計好，避免駭客盜取密碼的問題啊。

「長榮航空 EVA AIR」密碼沒加密！

日期：2013-10-19
名稱：長榮航空 EVA AIR
網址：http://www.evaair.com/
結果：密碼沒加密

「威寶電信」密碼沒加密！

2013-10-19T16:31:00.000+08:00

很難得寫電信公司系列，感謝 Anonymous 的投稿！

「威寶電信」是台灣知名電信商，我想就不用多介紹了。電信公司的網站提供非常多加值服務，資訊安全我想一定是非常重視的，畢竟裡面包含了非常多個資。

今天就讓我們來看看吧！

在網站的隱私權聲明中，有幾點引述...

為了保護使用者個人資料之完整及安全，保存使用者個人資料之資料處理系統均已受妥善的維護，並符合相關主管機關嚴格之要求，以保障使用者的個人資料不會被不當取得或破壞。

嗯，很常見的聲明，只是有沒有好好的做保護就是另當別論了。
或許很多公司的安全跟我們資安圈所謂的安全不太一樣吧？

但是另一段就很需要我們注意一下了。

用戶個人資料的使用與修改

使用者在本網站中可以隨時利用您個人申請的帳號和密碼，更改使用者所輸入的任何個人或公司資料。

意思是，威寶可以拿我們的帳號跟密碼來「利用」？
雖然說在業務範圍拿來利用是正常，但是如果網站的密碼沒加密？
是否威寶就可以知道我們的密碼？

讓我們馬上來看看。

直接在網站上點選「忘記密碼」

輸入手機號碼：

「已將密碼以簡訊方式傳至您的手機」

就這樣？
讓我們來看看手機...

這樣真的好嗎？
有興趣的使用者可以一起驗證一下。

密碼還是得要不能還原才安全啊...

「威寶電信」密碼沒加密！

日期：2013-10-03
名稱：威寶電信
網址：http://www.vibo.com.tw/
結果：密碼沒加密

感謝 Anonymous 的投稿！

「ezfly 易飛網」密碼沒加密！

2013-10-15T23:17:00.001+08:00

「ezfly 易飛網」是個知名旅遊售票網站，國內外旅行想要訂票到這邊就對了。

但是這麼一個老字號的旅遊網站，資訊安全到底做得怎樣呢？
全站都可以走 HTTPS 沒錯，但只有部分的元件有 HTTPS，這中間也隱含了一些隱憂。

至於其他部分的安全做得好嗎？

最近朋友轉了一封信給我，內容是這樣的。

全站更換密碼？這個聽起來不是很單純。不過我們還是重頭來看一下該站密碼有沒有加密吧！

先來註冊一下...

值得一提的是，該站有特別針對個資法來做處理，提醒你們我要用你們的個資喔！

加入成功！

收到信了，雖然是把密碼寄給我們了，但是也不能排除他是先寄出再加密存進資料庫的。

沒問題，沒加密先生。讓我們來忘記密碼吧。
輸入帳號以及生日（都是不難取得的資訊）...

給了密碼的提示，我們點選「請E-Mail密碼給我」。從選項中彷彿已經知道答案...

密碼已經寄出！

收到密碼啦！正是我們所設定的「plainpass123」。

在測試的過程中發現一個小插曲。

因為想要修改個人資料，所以登入帳號密碼修改。

但是怎樣都無法登入，密碼也確定沒錯。

心中漸漸開始懷疑一件事情，點開開發者工具一看...

<input type="password" name="mbrPwd" size="10" maxlength="8">

該站的密碼建議是，密碼請超過 8 個字。沒錯，8 個字的密碼真的已經太不安全了。該網站也提倡說密碼要長些。但是在修改個人資料的密碼欄位竟然最多只能輸入 8 個字...

這應該是因為舊系統原本的密碼長度上限是 8 個字吧？

記得改一下系統啊！沒人反應嗎？

測試完畢囉！希望大家的網站安全能夠更上一步。

「ezfly 易飛網」密碼沒加密！

日期：2013-10-14
名稱：ezfly 易飛網
網址：http://www.ezfly.com/
結果：密碼沒加密

感謝 Yuan-Chung Hsiao、Ching Chung Chen、Yu-Jie Shiao、Ant 的爆料！

什麼是「加密」？什麼是「沒加密」？

2013-10-06T20:49:00.002+08:00

什麼是「加密」？什麼是「沒加密」？

開站以來，一直不斷有人來詢問這個問題。正好今天有一則新聞分享給各位。

http://dazzlepod.com/ahashare/

AhaShare
cleartext passwords

On October 4, 2013, @SQLiNairb released the entire MySQL database dump (2.7GB) from a torrent site, ahashare.com. The dump includes approximately 170,000 unique emails and passwords hashed with unsalted MD5. SQLiNairb announced the release in a Twitter post at https://twitter.com/SQLiNairb/status/385944009945784320. There appear to be no public announcement on the leak from ahashare.com at the time of this publication.

AhaShare 是一個 torrent 網站，一如駭客常見的手法，網站遭到入侵之後，發現使用的權限是 root，於是把整個網站資料庫 dump 出來，放置到網路上給大家下載。裡面包含了使用者了帳號（E-mail）密碼 hash （unsalted）。

注意到了嗎？網站上把這種也標了「cleartext password」也就是「明文密碼」的意思。明文密碼的問題就是本站一直以來提倡大眾注意的問題。這類型的密碼可以簡單的提供給駭客利用，不管是破解其他人的密碼或者是盜用你的帳號。

回到主題，那什麼是「加密」？什麼是「沒加密」？

只要是駭客可以輕易取得、還原的密碼，都視同沒有加密。

為什麼？今天駭客如果已經入侵你的伺服器，若你的密碼沒加密，當然駭客可以直接取走。若你的密碼使用「可解密」的加密，駭客依舊可以取得解密的方法進行解密，取得原本密碼。我們直接列出以下情境給各位參考...

1. 密碼沒加密

駭客直接拿走密碼，順便謝謝你的大恩，把密碼張貼到網路上替你增加曝光度。

2. 密碼使用可解密（可逆）演算法加密

駭客取走加密字串。因為伺服器中一定含有解密方式，直接取用解密方法把密碼解密，取得密碼。
（若是金融等級的安全，使用硬體解密金鑰等另當別論，這對駭客來說難度偏高，應會使用其他方式入侵。）

3. 密碼使用不可逆演算法加密

駭客取走加密字串。但因不可逆的演算法使用了常用、含有漏洞的演算法（MD5），直接使用破解程式（CPU、分散式處理、GPU、RainbowTable、線上服務）進行破解，取得密碼。

4. 密碼加鹽（salt）後使用可靠不可逆演算法加密

駭客取走加密字串。但因密碼有 salt，因此無法使用現成 RainbowTable 或線上服務進行解密。只能自己撰寫程式破解，增加駭客時間成本。

還是不懂嗎？我們舉例來說。

「this is a password」是 18 個字元的密碼，雖然長度很夠，但明文大家都知道不安全。「dGhpcyBpcyBhIHBhc3N3b3Jk」看起來就是個加密過的字串，很安全，對吧？

錯！大錯特錯！可還原的密碼就像是「dGhpcyBpcyBhIHBhc3N3b3Jk」一般不安全，這個是使用 base64 加密，可以直接使用工具解密回「this is a password」。有的業者直接跟我說，他們的網站有使用 base64 「加密」，當場實在是震撼久久無法回神...

「2986b7f0cd0ba9827ace0810c8818825」使用 MD5 運算，因為 MD5 是不可逆的 one-way hash ，確實是安全的。但是在 2004 年中國密碼學家「王小雲」找到了 MD5 演算法的弱點（2005 年找到 SHA-1 的弱點），導致 MD5 / SHA-1 的安全性遭到質疑（例如簽章）。而且，MD5 的流通性高，很多資安研究員已經針對 MD5 製作了對照表。因此大家只要上網搜尋這段 hash 應該就可以找到對應的密碼。這樣還能稱作安全嗎？你放心嗎？

https://www.google.com.tw/search?q=2986b7f0cd0ba9827ace0810c8818825

「2f0e768999c07f4666545c0b669af9ed」是加了 salt 的 MD5 運算。上網搜尋已經找不到此密碼的結果，就算使用線上密碼破解服務也暫時無法破解。因為原始密碼加上 salt 之後長度也已經夠長，hash 已經難以被破解。這就是我們一直提倡密碼要加 salt 的原因。

InsiderPro 網站上有提供密碼加密服務，大家可以上去體會一下加密的感覺。
http://www.insidepro.com/hashes.php

想要知道我們要怎麼去選用足夠安全的加密法？可以參考之前 yftzeng (Ant) 的文章「Best Practicing for Password Protection」。

什麼是「加密」？什麼是「沒加密」？如果不能提供有效、可靠、不可逆的加密法，駭客依舊可以輕易的突破你的「加密」，密碼就跟沒加密一樣了。安全性跟便利性是很難兼顧的，若是為了使用者的方便而犧牲安全，那業者們就真的要思考一下哪些是比較重要的了。若你的系統固若金湯，當然你的密碼全部設成「123456」也不用去思考安全問題。但，駭客是不好惹的，不是嗎？;)

願我們都有個安全的系統！

Update: 感謝 Roland, Vincent 等人的指點，更新修正文章內令人誤會的部份。

「PChome線上購物 - 24h購物」密碼沒加密！

2013-10-05T15:40:00.000+08:00

「PChome 線上購物」已經是現代人購物的最愛，便宜、24hr到貨、可七天退貨，都讓人非常滿意。

還記得本站以前的文章嗎？「PChome Online 網路家庭」會員密碼沒加密。那線上購物呢？讓我們來看看網友 Ding 的爆料。

因為網站的找回密碼要用手機簡訊，因此我們直接把自已的帳號修改密碼，本例改為「plaintext」。

密碼變更完成！

下一步我想大家都很清楚，讓我們馬上使用「忘記密碼」功能來找回密碼。「PChome線上購物」需要使用手機來找回密碼，因此我們也需要輸入手機號碼。

「密碼已經利用簡訊發送到手機內。」

讓我們打開手機來看看簡訊...

確實為我們所設定的密碼！

PChome 在這一塊真的要多小心了...

「PChome線上購物 - 24h購物」密碼沒加密！

日期：2012-05-30

名稱：PChome線上購物 - 24h購物

網址：http://24h.pchome.com.tw

結果：密碼沒加密

感謝 Ding 的爆料！

「華娛售票」密碼沒加密！

2013-10-01T21:34:00.000+08:00

「華娛售票」經常販售文藝活動門票，也包括很多歌手的演唱會。熱門歌手的搶票戰爭是非常刺激的！但是通常久久買一次票，總是會忘記密碼。在點了「忘記密碼」之後，往往會讓人無言...

讓我們來跟著走一次流程吧！

首先讓我們註冊一個新帳號，沒加密先生。

填寫完畢完整的個人資料之後，註冊成功了！

當然馬上讓我們忘記密碼一下。
畫面上寫著驚悚的字串...

您的密碼將會寄到您加入會員時所填寫的主要電子信箱

填好了，他也說請我們去收信拿密碼。
看來答案非常明顯了。

讓我們看看信箱：「您的密碼是：plainpass」

每次買票都要經歷一次這樣的歷程，看著自己的密碼每次都被秀出來心中實在是百感交集。

希望各大售票網站都能好好改進一下啊！

「華娛售票」密碼沒加密！

日期：2013-09-26
名稱：華娛售票
網址：http://www.walkieticket.com
結果：密碼沒加密

「中華航空公司 China Airlines」密碼沒加密！

2013-09-26T17:04:00.000+08:00

年底是出國遊玩的好季節，網路的時代大家也多半會在線上直接購買機票。
有會員的地方就有密碼，有密碼的地方就有安全的疑慮。

讓我們今天來看看「中華航空公司 China Airlines」的會員密碼有沒有加密。

先來申請入會。

填寫非常完整的個人資料。我們一樣請沒加密先生來幫我們檢查一下。

好的，住在凱達格蘭大道一號的沒加密先生，帳號申請成功。

登入的方式會採用「華夏會員卡號」。

接著我們馬上來使用「查詢密碼」功能來看看我們的密碼。
既然都叫做「查詢」密碼，聽起來應該是可以看到原本的密碼...

輸入完畢之後，會把原本的密碼資訊寄送到註冊的信箱中。

最後從我們的信箱中，得到我們原始的密碼「plain123」。

結果得知：
「中華航空公司 China Airlines」密碼沒加密！

日期：2013-09-13
名稱：中華航空公司 China Airlines
網址：http://www.china-airlines.com
結果：密碼沒加密

感謝 Kobe Yang ＆ Kan-Ru Chen 以及許多不具名網友的爆料！

「EZ訂 ezDing」密碼沒加密！

2013-09-21T00:10:00.000+08:00

「EZ訂 ezDing」是「富爾特科技股份有限公司」所建置的訂購網站，包括電影、民宿等等。

經過這麼多售票網站以來，究竟「EZ 訂」能不能夠通過 PlainPass 的檢測呢？讓我們來看看。

站內的「會員服務條款」有說明了個資蒐集使用原則、安全等等。

一、EZ訂會員帳號即手機門號，必須詳實填寫，手機門號及密碼，不能重複登錄。除非經他人合法授權使用其個人資料以外，您如果提供任何錯誤或是不實的資料進行登錄，本網站有權暫停或是終止您的帳號，並拒絕您使用本服務。

除了 SSL 之外，並沒有說對會員資料進行怎樣的防護。

讓我們請沒加密先生開始測試吧！

該網站使用手機號碼當做會員帳號，帳號密碼也會跟手機關連。

簡單註冊完畢，還好不需要輸入太多個人資料。
馬上開始點選「忘記密碼」開始測試。

輸入手機號碼（會員帳號）以及驗證碼之後，將會寄送密碼。
寄送的方式很特別，除了信件之外，還會同步發送簡訊。

「您的登入密碼已經透過下列方式傳送給您」，看來答案已經出現了。

看看信箱中，確實是我們所設定的密碼。

手機也同步收到了密碼的簡訊。

除此之外，如果我們點選「修改會員資料」，上面也是直接出現了我們原始的密碼。

透過瀏覽器的「開發者工具」可以一目了然。

同站的另一個頁面，一樣可以從個人資料中直接取得密碼。

這樣真的好嗎？整個網站都這樣，讓消費者要如何安心的使用呢？希望你們趕快改進吧！

「EZ訂 ezDing」密碼沒加密！

日期：2013-09-20
名稱：EZ訂 ezDing
網址：http://www.ezding.com.tw
結果：密碼沒加密

感謝 Tiger Huang & Seachaos 的爆料！