Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Ale że plaintext ?

Ostatnio coraz więcej się mówi o tym jak stworzyć bezpieczne hasło oraz to gdzie nie należy chować naszych karteczek z zapisanym hasłem ;-)

Wszystko fajnie do momentu kiedy to użytkownik myśli, iż jest bezpieczny. Hasło skomplikowane i pamięta je mój mózg - lekcja odrobiona. Ale to wszystko na nic kiedy usługi, z których korzystamy nie przywiązują większego znaczenia to bezpieczeństwa naszych danych.

Jakie wielkie zdziwienie(ba, w sumie po przygodach z Sony to nie powinno mnie już zdziwić) mnie dopadło, kiedy "wykopałem" konwersacje pomiędzy byłym pracownikiem allegro a innym użytkownikami strony Wykop.pl

Miliony kont, monopol na maksa, "społecznie odpowiedzialna marka", ale czy aby na pewno ?

@argothiel: Bardzo różne. Najzabawniejsze jest to, że np. jeśli jakiś User ma hasło przykładowo 'myszka1' to obok jest taka cyferka w nawiasie np. (23). Po kliknięciu w tę cyfrę pojawiają się wszystkie konta z takim samym hasłem.
Swoją drogą powinni zrobić spreparowany link, jeśli chcą by Admini logowali się na konto w celu pomocy np. Oczywiście hasła adminów są tajne i ich nie widać ;) Równi i równiejsi? ;)

Aha, czyli moje hasło, które powierzyłem "marce społecznie odpowiedzialnej", jest zapisane w bazie jako zwykły tekst?! A na dodatek złego, administracja urządza sobie rankingi ?

@Macunaima: Historia nr 2, moja:

Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne :( :D

Upsss. Rok temu miejsce miała podobna wpadka, która umożliwiała poprzez webAPI wgląd w hasła zapisane w jawnym tekście.

Co na to allegro ?

Hasła są zabezpieczone i zaszyfrowane, nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników allegro. Tu mieliśmy do czynienia niestety nie tylko z błędem, ale także zbiegiem okoliczności, dzięki któremu był możliwy dostęp, do tych wyjątkowych obszarów.

Ufff. Hasła są zarówno "zabezpieczone jak i zaszyfrowane", ale nie wszędzie. Inne tłumaczenia allegro kieruje dobrem użytkowników i walką z fałszywymi kontami(jakby to hashowanych haseł nie było można porównać...). O zgrozooo, pomieszane wszystko z wszystkim. Otóż pewne jest nie zależnie od tego w jaki sposób hasła są przetrzymywane w bazie, allegro się nie przyzna do winy.

Zatem nasuwa się pytanie: Zemsta pracownika, który wyjawił całą prawdę czy może zwykła ściema? Tak czy inaczej, szerokie grono z tą informacją nie będzie miało do czynienia, wiadomo monopol robi swoje...

PS. Może są tu jacyś "anonimowi", którzy chętnie sprawdzą bazę allegro :) 

internet bezpieczeństwo

Komentarze

0 nowych
Banan   10 #1 09.12.2011 19:38

Zapewniają bezpieczeństwo pieniędzy to nie zapewnią hasłom? Oj wątpię. Nawet mają "Program Ochrony Kupujących" i oddają pieniądze, które były bezkarnie zagarnięte przez nieuczciwych sprzedających.

Docent REDAKCJA  14 #2 09.12.2011 20:05

Nie znam akurat tej sprawy z Allegro, ale dodam tylko, że możliwość uzyskania informacji typu "15 użytkowników posiada to samo hasło" nie oznacza automatycznie, że hasła są zapisane czystym tekstem w bazie danych. Ostatecznie hash hasła (czyli hasło zaszyfrowane nieodwracalnie) też można porównać i to właśnie robi się podczas... logowania ;) Podane hasło jest hashowane według tego samego algorytmu i porównywane z zapisanym hashem.

gowain   19 #3 09.12.2011 20:28

Mnie jedynie frapuje ten kawałek z oficjalnej wypowiedzi rzecznika: "W takiej formie rzeczywiście występują w paru obszarach serwisu". To zaprzecza wszystkiemu. Po co w jednej części jako plain, a w drugiej zahashowane? To się nie trzyma przysłowiowej kupy. Jak hakerzy włamią się na serwery to przecież nie będzie dla nich kłopotem skopiować część z plain tekstami. Po co kusić? Czemu nie można trzymać wszystkiego jako hashe? Ewidentnie coś jest na rzeczy...

underface   14 #4 09.12.2011 20:29

@Docent
jest dokładnie tak jak mówisz - sam kiedys pisałem prosty skrypt z baza danych użytkowników i mechanizm polegała na tym samym. do bazy leciało hasełko zahashowane. następnie jak user się logował to skrypt pobiera hasło z formularza i tez hashuje tym samym sposobem co hasło z bazy i dopiero na końcu porównuje.

Jeżeli hashowanie było by losowe, to nie istniała by możliwość porównania hasła wpisanego z tym w bazie.


michal_93   6 #5 09.12.2011 21:01

@underface
"Jeżeli hashowanie było by losowe, to nie istniała by możliwość porównania hasła wpisanego z tym w bazie."

Jak można losowo hashować hasła? Każdemu użytkownikowi przypisywać losową sól?

Frankfurterium   10 #6 09.12.2011 21:03

Haszowanie (liczenie funkcji skrótu) może być w ogóle losowe? :P

+ 'Ale że' to wyjątek i przecinka pomiędzy nie stawiamy.
(w tekście ok, ale tytuł wali po oczach)

underface   14 #7 09.12.2011 21:09

źle mnie zrozumieliście - chodziło mi o to ze dane słowo za każdym razem było by hashowane inaczej

kuba144   5 #8 09.12.2011 21:32

"Jeżeli hashowanie było by losowe, to nie istniała by możliwość porównania hasła wpisanego z tym w bazie."
Jest jeszcze na to wszystko mały trik.
Można hashować ciąg znaków login+hasło przez co nawet jak hasła są takie same to hashe będą różne :)

Ardziej   5 #9 09.12.2011 22:06

@sebt, a co powiesz o wpadce z przed roku ? :)
@Banan, jak pewien Pan z Allegro mówił: "W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników allegro" - chodzi o plaintext.
@Docent, jasne przy zwykłym hashowaniu jest to jak najbardziej możliwe :) ale szczypta soli by się przydała....

Ardziej   5 #10 09.12.2011 22:10

@underface,@michal_93, robimy to tak.
Użytkownik podaję hasło, hashujemy ze solą - zapis do bazy.
Użytkownik się loguje, podaje hasło i hashujemy z solą i sprawdzamy z rekordem z bazy :)
@Frankfurterium , dzięki bardzo, za mną bardziej przemawiają tysiące linijek kodu niż poprawna polszczyzna, staram się jak mogę :)
@kuba144, tak jest. Tzw hashowanie z solą i po problemie, gdyż wtedy używanie tęczowych tablic nie pomoże :)

  #11 09.12.2011 22:17

Ciekawe, ciekawe :)
Dobrze, że do Allegro mam inne hasło niż gdzie indziej ;)

4lpha   10 #12 10.12.2011 11:25

Ogólnie rzecz biorąc bezpieczeństwo wielu znanych (i często znaczących) portali/vortali jest śmieszne.

Przykładem jest sieć Sony. Tyle serwerów, a żadnego specjalisty, który by to zabezpieczył.

michal_93   6 #13 11.12.2011 21:21

@Ardziej
"@underface,@michal_93, robimy to tak.
Użytkownik podaję hasło, hashujemy ze solą - zapis do bazy."

Hmm... nie pytałem o to :D Chodziło mi o stwierdzenie "losowe hashowanie haseł", bo myślałem, że takie podejście raczej nie jest przydatne.

Ardziej   5 #14 11.12.2011 21:55

@michal_93, co do losowego hashowania haseł to niby da radę, ale za to musimy mieć sól każdego usera aby porównywać przy logowaniu :)
Następny wpis już w drodze o niebezpieczeństwo a raczej o bezpieczeństwu :)
Pozdrawiam!