マスターパスワードを使用しない限り、パスワードはプレーンテキストで保存されます。
パスワードのハッシュのみを保存する必要があると人々が言うとき、彼らはクライアント側ではなくサーバー側のストレージについて話している。
サーバ側
ユーザーが自分のパスワードで登録/ログオンできる独自のWebサイトを持っている場合、パスワード自体を保存する必要はありません(保存してはいけません)。
あなたはプレーンなパスワードを保存する必要はありません、あなただけのログオン時に使用したパスワードは登録時に、ユーザによって与えられたパスワードと一致することを確認する必要があるため、。パスワードが異なるとハッシュも異なるため、ハッシュを使用できますhas。
あなたはプレーンなパスワードを保管してはなりません。ウェブサイトがハッキングされた場合はどうなりますか?さらに、多くの人が何度も同じパスワードを再利用しているため、事実上、ハッカーにユーザーのFacebookアカウント、メールアカウントなどにアクセスする権限を与えています。
クライアント側
ブラウザーは異なります。パスワードはクライアントマシンに保存され、ハッシュではなく元のパスワードが必要です。
つまり、ほとんどの場合、これらのパスワードはプレーンテキストで保存されます。
セキュリティに関しては、それほど重要ではありません。これらのパスワードは、ユーザーアカウントに属するディレクトリに保存されます。つまり、ユーザーファイルへのアクセス許可を適切に構成し、パスワードを含むファイルへのアクセスをユーザー自身に制限するのは、オペレーティングシステム(およびユーザー)の責任です。
ユーザーエクスペリエンスに関しては、これが最も簡単です。もう1つの可能性は、これらのパスワードをマスターパスワードで暗号化することです。その場合、ユーザーはブラウザーを開くたびにマスターパスワードを入力する必要があります。ほとんどのユーザーがそれを楽しむことはないと思います。
マスターパスワードがどこかに保存されている場合、同じ問題が発生します。マスターパスワードをプレーンテキストで保存する場合、何が重要ですか。暗号化する場合は、マスター/マスターパスワードが必要です。
同期
ほとんどのブラウザでは、ユーザーが複数のマシン間でデータを同期できることに注意してください。同期では、リモートサーバーを使用して、Cookie、履歴、ブックマーク、およびパスワードを保存します。たとえば、ChromeはGoogleサーバーを使用してこのデータを保存します。
この場合、パスワードが同期サーバーにプレーンテキストで保存されることはありません。それ以外の場合、セキュリティ上の問題になります。Chromeでは、同期用のマスターパスワードを選択する必要があります(またはGoogleアカウントからのものを使用します)。このマスターパスワードは、パスワード(常に)や、履歴やブックマーク(オプション)などの他のデータの暗号化に使用されます。
simplicity簡単にするために、異なるパスワードに同じハッシュを使用することはできないと想像できます。理論的には、衝突が存在する可能性があるため、これは誤りです。実際には、SHA-256などの強力なハッシュアルゴリズムを使用すると、数百万の登録ユーザーがいる場合でも、Webサイトの衝突のリスクを無視できます。MD5のように時代遅れで価値の低いハッシュアルゴリズムを使用する場合は、状況が異なります。