Netflixはどのように私のパスワードを知っていますか？

8

FirefoxでNetflixのメインページにアクセスすると、自動的にログインします。

しかし、Firefoxの保存されたパスワードのリストを開くと、NetflixがFirefoxが（Options -> Security -> Saved Passwords）のパスワードを保持しているサイトに含まれていないことに気付きました

Firefoxがパスワードを保存していない場合、Netflixはパスワードをどのようにして知っていますか？また、どこに保存されていますか？

firefox passwords netflix

— レイヴンドリーマー
ソース

21

私はこのシナリオのどの部分があなたが彼らにあなたのパスワードを知っていると思わせるのかを見ることはできません。基本的に、あなたが言ったのは「私はChromecastを手に入れたばかり」です。そして「Firefoxは私のNetflixパスワードを保存していません。」Netflixがあなたのパスワードを持っているとあなたを信じさせるこれらの2つの事実については何ですか？この誤解は、あなたが現在の質問に挙げたもの以外の何かから生じたと思います。おそらく、その「何か」が何であるかを説明するために編集できますか？

— Ajedi32 2014

1

@ Ajedi32正直なところ、私は精神的な失調を経験しました。Netflixを開くたびにログインしているので、ログインしているのはfirefoxだと思いました。クッキーが何かであることを完全に忘れていました。

— レイヴンドリーマー2014

4

したがって、実際にはChromecastはまったく無関係です。

— David Z

@DavidZ Firefoxを介してそれを使用する方法に関する情報がない限り...はい。

— Raven Dreamer 14

@RavenDreamerそれは別の質問でしょう。関係なくとても無関係です。

— OJFord 2014

31

最初の質問に答えるために、Netflixはパスワードを知りません。

Netflixやその他の有能なWebサイトが行うことは、一方向ハッシュスキーム（MD5、SHA-1、SHA-2など）を使用してパスワードをハッシュすることです。

これにより、基本的には、パスワードであるテキストの文字列を識別する一意の固定長16進数のフィンガープリントが作成されます。たとえば、MD5を使用してハッシュされた後のmy-secure-passwordは次のようになります。

MD5ハッシュ

彼らはこのハッシュを内部データベースに保存し、Netflixにログインするたびに、ログインプロセス中に指定したパスワードが同じスキームを使用してもう一度ハッシュされ、データベースに保存されているハッシュされたパスワードのコピーと照合されます。

それらが一致する場合、正しいパスワードを入力したことと、アクセスが許可されたことがわかります。そうでない場合は、認証されていません。これが、[ パスワードを忘れた ] リンクのバリエーションをクリックすると、古いパスワードが送信されず、新しいパスワードを選択するように求められる理由です。それは彼らがあなたのパスワードが何であるかを知らないからです。

では、FirefoxがNetflixのパスワードを保存しなかった場合、どのようにログインしますか？

その答えはセッションCookieです。（おそらく少し前に）Netflixにログインしたときに、セッションを記憶することを選択した可能性があります。
私を覚えてますか？

そうした場合、Firefoxは、あなたがNetflixにアクセスするたびにあなたを一意に識別する小さな情報をコンピュータに保存します。これらの「Cookie」は、呼び出されると、セッションがアクティブになってから期限切れになるまで、通常は短期間存続します。ただし、数週間以上続くものもあります。そのCookieを削除すると、Netflixはあなたを記憶しなくなります。

Netflix Cookie

2番目の質問に関して、Firefoxがパスワードを「記憶」しなかった場合、パスワードはどこにも保存されません。保存されるのはクッキーです。その中のFirefoxの店舗、それらをプロファイルフォルダのファイルでcookies.sqliteあるSQLiteのデータベースファイル。

最後に、Facebookアカウントからログインすることを選択した場合、パスワードは必要ないため、Firefoxはパスワードを保存しません。

Facebookを使用してログイン

ただし、セッションを識別するためにCookieが作成されます。

— ビナヤク
ソース

23

MD5 はハッシュ関数であるため、一方向です。暗号化プロセスを介してMD5ハッシュから何らかの方法で元のデータを取得できることを意味するわけではありません。できません。言及したツールがハッシュを「元に戻す」ことができるのは、元のパスワード文字列に到達するためにあらゆる種類のパスワードの組み合わせを総当たりするために多大なコンピューター能力を費やしたからです。これは、MD5がリバーシブルであるという意味ではありません。ハッシュは、キーがあればデータを復号化できる暗号化とは異なります。また、ハッシュを使用すると、入力がどれほど長くても、出力は常に固定長になります。

— ビナヤク2014

16

@Derekы會功夫MD5は暗号的に「壊れている」が、これは衝突に関するものであり、プリイメージ（パスワードにとって重要）ではない。MD5はパスワードにも適していませんが、高速であるため、短時間で多くのパスワードを総当たりにすることができます（これは、SHA-2やSHAなどの最新のハッシュ関数でも同じです） -3）。crypto.stackexchange.com/a/28/58を参照してください。

— パウロEbermann

9

私はMD5の例だけに反対票を投じなければなりませんが、残りの答えは良いかもしれません。これは、2014年に読みたいものではありません（まもなく2015年になる予定です）。パスワードを保存するために生のMD5を（ソルトを使用しても）使用することは決して良い考えではなく、ほとんどの人は過去10年間でそれを実現しました。-1

— トーマス

8

@Thomasそのように感じて申し訳ありませんが、私の答えが最良のハッシュスキームを選択するためのガイドとなることは決してありませんでした。SuperUserはStackOverflowではなく、MD5はまだ暗号化ハッシュ関数であるため、MD5の例でハッシュとは何かを説明しても何が悪いのかわかりません。

— ビナヤク2014

7

@kasperd「実際、ソルトを使用したMD5の単一の呼び出しを使用することは、今日まで、適切なパスワードを使用するユーザーにとって安全です。」いいえ。誤報を広めないでください。MD5を1回呼び出すだけでは完全に不十分です。

— Ayrx 2014

10

Netflixは、他のほとんどのWebサイトと同様に、通常のブラウジング中はパスワードを気にしません。代わりに、ログインすると、NetflixはブラウザーにログインセッションIDを含む「Cookie」を保存します。ブラウザは、新しいページを要求するたびにそれを送り返します。（同様に、Firefoxのパスワードストレージは通常のブラウジング中には使用されず、ログインページのパスワードフィールドへの自動入力にのみ使用されます。）

通常、セッションCookieはランダムに生成され、ログインやパスワードとは関係ありません。Netflixだけがアカウントにリンクできます。

それらを表示するには、ページを右クリックして[ページ情報を表示]を選択し、[セキュリティ]の下にある[Cookieを表示]をクリックします。

— user1686
ソース

5

Netflixには何の問題もありません。ログオンできるほとんどすべての Webサイトと同様に、PCにCookieを保存します。このCookieは、特に、パスワードを表す暗号化されたデータを保存します。

グーグル、フェイスブック、ヤフー、ウィンドウズ・ライブ、そしてあなたが考えているどんなアカウントでも同じ振る舞いを見たことはありませんか？

一部のWebサービスは、短期間のみ、または現在のセッションでのみ有効なCookieを使用する場合があります（たとえば、「このコンピューターで記憶する」オプションを選択しない限り、YahooおよびFacebookなど）。ただし、Netflixは、ブラウザの履歴、特にCookieを削除しない限り、長期間有効なCookieを使用しているようです。

今、あなたはブラウザでパスワードストアをどのように使用するのか尋ねているかもしれません。とても簡単です。Netflix（またはその他）からログアウトすると、Cookieは削除されます。再度ログインする場合は、アカウントのユーザー名とパスワードの両方を入力する必要があります。ブラウザにパスワードを保存している場合、ユーザー名を入力すると、そのフィールドがオートコンプリートされます。

— コーネリアス
ソース

10

明確化– Cookieには、パスワードを表すデータは含まれていません。むしろ、それらには、アカウントに関連付けられたセッションを識別するランダムなデータが含まれています。セッションはサーバーに保存されます。

— ntoskrnl 2014

0

クッキーをチェックしましたか？パスワード、またはパスワードの暗号化されたコピーが存在する可能性があります。

— ハイミー
ソース

5

それはひどく安全でないデザインでしょう。一般的な方法は、パスワードとはまったく関係のないセッションCookieを使用することです。

— kasperd 2014

彼が何を見つけるかは、厳密には特に問題ではありません。彼は彼のクッキーをチェックするべきです。

— hymie 2014