Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Za długie hasło..? Tylko na Allegro

Allegro to nie tylko największy polski sklep internetowy, ale wiele różnych spółek wchodzących w jego skład oferujący usługi, kupony czy wiele innych rzeczy. Jednym z udogodnień jest korzystanie z jednego konta na wszystkich portalach wchodzących w skład grupy Allegro. Jest to spore ułatwienie i nie ma potrzeby zakładania kolejnych kont.

Pierwszy problem napotkałem, gdy chciałem kupić kupon na stronie citeam.pl. Nie mogłem się zalogować za pomocą danych z konta allegro. Zgłosiłem problem i dostałem odpowiedź, że nie odnotowano żadnych problemów z logowaniem. W związku z tym, że szybko chciałem kupić te kupony założyłem drugie konto w serwisie i dokonałem zakupu. I pewnie na tym skończyła by się cała historia, ale problem znów powrócił jak bumerang.

Moje miasto miała odwiedzić mobilna Akademia Allegro. By móc w niej uczestniczyć należało się zarejestrować podając login i hasło z konta allegro. Problem z logowaniem znów się pojawił. W grę nie wchodził błędny login czy hasło gdyż do głównego portalu logowałem się bez problemu. Ponownie napisałem do pomocy allegro. Odpowiedź którą dostałem bardzo mnie zaskoczyła (niestety negatywnie).

Witam.

Udało mi się ustalić, że powodem zaistniałej sytuacji jest to, iż ma Pan dłuższe hasło niżeli pozwalamy ustalić (czyli więcej niż 16 znaków).

Podczas rejestracji na szkolenie należy wpisać tylko pierwszych 16 znaków swojego hasła, nic więcej.

W razie problemów zachęcam do kontaktu.

Pozdrawiam

Jak się okazało całej sytuacji winne było moje zbyt długie hasło. Co najciekawsze było rozwiązanie, ponieważ wystarczyło wpisać pierwsze 16 znaków hasła, aby się zalogować. Bardzo mnie zaskoczyła ta odpowiedź, gdyż przy zakładaniu konta czy zmianie hasła jesteśmy proszeni o podanie BEZPIECZNEGO hasła minimum 6 znakowego, które nie może zawierać nazwy użytkownika, imienia ani nazwiska i musi zawierać liczbę. Podczas pisania tego teksu sprawdziłem w serwisie allegro, iż zostało nałożone ograniczenie co do długości hasła do 16 znaków. Musi ono obowiązywać od niedawna, ponieważ ja wpisując swoje hasło jakiś czas temu nie miałem problemu z akceptacją przez serwis.

Napisałem do serwisu w tej sprawie i czekam na odpowiedź. Jeśli tylko dostanę to oczywiście się z wami podzielę jego treścią.

Aktualizacja 2012.02.15 godz: 15:30

Dostałem odpowiedź z allegro na pytanie. Chciałbym zapytać od kiedy obowiązuje ograniczenie hasła do 16 znaków w serwisie Allegro oraz w jakim celu zostało ono wprowadzone? Czym ono było podyktowane?

Witam.

Serwis Allegro uznał, ze 16 znaków wystarczy do konstrukcji hasła o złożoności która zapewnia odpowiedni poziom bezpieczeństwa.

Panu udało się prawdopodobnie wpisać hasło składające się z 17 znaków w wyniku problemów technicznych występujących wówczas po naszej stronie.

Pozdrawiam,

 

bezpieczeństwo

Komentarze

0 nowych
blind-oln   8 #1 14.02.2012 21:16

Dziwna sytuacja. Z ciekawości sprawdziłem długość swojego hasła i... okazało się, że ma równo 16 znaków. Jestem więc bezpieczny. :D

max1910   7 #2 14.02.2012 21:21

Ja obecnie mam 17 znaków i stąd cały problem. Czekam na odpowiedź od allegro w tej sprawie.

Sidhmor   7 #3 14.02.2012 21:22

Jeżeli dobrze rozumuje to oznacza, że hasło nawet nie jest haszowane... super;/

drobok   14 #4 14.02.2012 21:27

Nie, że nie jest haszowane. Po prostu jest limit przy wpisywaniu do bazy (odczytywanie danych z formularza). Max1910 próbowałeś pierwszych 16znaków ? :)

dragonn   11 #5 14.02.2012 21:30

"Co najciekawsze było rozwiązanie, ponieważ wystarczyło wpisać pierwsze 16 znaków hasła, aby się zalogować. " czyli hasło gdzieś jest zapisane bez szyfrowania! Bo jak by hasło było zaszyfrowane to by takie coś nie przeszło :/. Ładnie, ładnie z strony allegro.

Sidhmor   7 #6 14.02.2012 21:33

@drobok Skoro hasło ma dajmy na to 18 znaków, a można się zalogować przy użyciu 16, tak jak to radzi pomoc techniczna, to wydaje mi się, że hasło nie jest haszowane. Skróty byłyby różne.

kamil_w   10 #7 14.02.2012 21:36

To, że hasła w bazie Allegro nie są szyfrowane wiadomo nie od dziś. Kiedyś na wykopie można było porozmawiać z byłym pracownikiem Allegro, który ujawniał wszelkie brudy na temat tej spółki. Nawet bodajże na Antywebie było to opisane.

PLI52KA   4 #8 14.02.2012 21:40

Osobiście miałem kiedyś problem z hasłem do GG. Po zmianie hasła na zawierające znaki jak #%& nie mogłem się do niego po prostu zalogować, wyskakiwało błędne hasło. Nie wiem czym to mogło być spowodowane? Teraz nie sprawdzałem ale do tej pory pozostało mi z liter i cyfr.

septim   10 #9 14.02.2012 21:45

Sprawa z za długimi hasłami w allegro była już kiedyś poruszana, nawet był chyba oficjalny komunikat. Mieli coś z tym zrobić, zmusić ludzi do zresetowania za długich hasłem, ale jak widzę sprawa umarła i nic z tym nie zrobili.

Ostatni Mohikanin   25 #10 14.02.2012 21:55

Co do tytułu wpisu - nie tylko Allegro jest ograniczenie dotyczące ilości znaków w haśle.

max1910   7 #11 14.02.2012 22:35

@Ostatni Mohikanin: Możliwe, że nie tylko na allegro. Ja spotkałem się z tym problemem w tym serwisie.

  #12 14.02.2012 22:40

Parodia. Hasła powinny być hashowane, a taki przypadek tylko potwierdza te "plotki" które pojawiały się na innych serwisach - nie są hashowane, bo skoro wystarcza podać część hasła a pozwala to na logowanie, to porównuje wpisane dane a nie hashe z nich wygenerowane....
Tak duży portal, a takie jaja... czekają chyba aż spotka ich to co PS Network - jak będzie włam i posypią się potem pozwy że hasła nie były zabezpieczone to zmądrzeją.

max1910   7 #13 14.02.2012 22:46

@lukasamd: Masz rację. Dla mnie cała też sytuacja wydała się bardzo dziwna. Dlatego zdecydowałem się napisać o tym oraz dalej drążyć temat na allegro. Jutro zapytam o to przedstawicieli serwisu. Zawsze wydawało mi się, że allegro "słynie" z dobrych zabezpieczeń a tu taki przypadek..?

  #14 14.02.2012 22:47

A możesz zrobić dwa eksperymenty? Tj.
1) spróbować zalogować się na allegro.pl używając tylko pierwszych 16 znaków,
2) j/w ale po 16 znakach dopisać kilka dowolnych aby sprawdzić, czy zostaną zignorowane

Jeśli zalogujesz się w obu przypadkach lub w obydwu się nie uda jest szansa, że hash (jeśli go stosują) jest obliczany (dla 16 znaków dla tekstu z bazy i być może 16 znaków z podanego hasła), jeśli zalogujesz się 1 przypadku ale nie w 2 mamy kolejny dowód na to, że nie hashują haseł. Bo to by oznaczało, że porównują ciągi znakowe, 16 znaków bazy i tym co wpisałeś.

max1910   7 #15 14.02.2012 22:59

@MDobak: W obu przypadkach udało się zalogować.

czytacz   4 #16 14.02.2012 23:47

no to znaczy że serwer obcina ostatnie znaki z formularza i hashuje tylko pierwszych 16.

Ale równie dobrze może trzymać te 16 znaków bez hashowania. Zastanawiam się czy da się to jakoś zweryfikować...

Ardziej   5 #17 15.02.2012 00:46

Że nie hashują to już pisałem, ale z drugiej strony, co za różnica czy hasło ma 6 znaków czy 200 ?
Hash zależnie od rodzaju będzie miał 32 znaki w przypadku MD5 i 40 w przypadku SHA-1.
Zatem po co te ograniczenia do 16 znaków ? Na pewno miejsca nie zaoszczędzą skoro rzekomo hashują hasła - na 100% nie hashują.
http://www.dobreprogramy.pl/Ardziej/Ale-ze-plaintext,29230.html
Śmiech na sali.

Pozdrawiam

PcSA   4 #18 15.02.2012 02:34

Ja "walczyłem" z Allegro ok roku temu właśnie z racji tego, że nie mogłem się zalogować na swoje konto. Jeżeli dobrze pamiętam to już wtedy istniało ograniczenie na 16 znaków, którego jakieś 4 miesiące wcześniej nie było. Prawdopodobnie dlatego też nie mogłem się zalogować.

Jako iż nie miałem najmniejszego zamiaru wysyłać skanu dowodu, bo czytałem jakie tam "porządki" istnieją, do tej pory nie mogę się zalogować. Co więcej nawet żądanie o zablokowanie konta wystosowałem, ale tego też nie zrobili.

Wtedy odpuściłem z braku czasu, ale tak się właśnie zastanawiam czy sprawy nie odświeżyć.

Ostatni Mohikanin   25 #20 15.02.2012 11:15

Właśnie zmieniłem swoje "za długie" hasło na Allegro. Pomoc serwisu informuje o maksymalnie 16-znakowym haśle. O dziwo, nawet wpisując 16 znaków otrzymałem informację, że "hasło jest za długie". Wpisałem 14 i przyjęło. :\

antiferno   7 #21 15.02.2012 11:29

allegro1 ;)

  #22 15.02.2012 12:00

Swojego czasu (nie wiem jak obecnie) w GG było ograniczenie na ilość znaków i dodatkowo na ich (sic!) wielkość. Hasła też nie były hashowane, ponieważ moje długie hasło, które zostało utworzone, zanim powstały te ograniczenia, pasowało. Ale jak się później okazało, brane były tylko pierwsze znaki hasła - nadmiarowe były olewane. Odkryłem to przypadkiem, korzystając z alternatywnego klienta, gdzie moim "pełnym" hasłem nijak nie mogłem się zalogować :)

Quest-88   15 #23 15.02.2012 12:59

o2.pl ogranicza usera do 15 znaków i nie chcą znieść limitu, dranie!

skandal   2 #24 15.02.2012 13:00

Allegro Allegrem, ale z tego co pamiętam, na PayPalu nie może być hasło dłuższe niż 20 znaków. To jest dopiero dziwne, zważając na to, że tam właśnie trzymam możliwość korzystania z mojej karty kredytowej :/

Banan   10 #25 15.02.2012 16:10

"Wpisz swoje nowe hasło do konta Gadu-Gadu
Niepoprawne znaki w haśle. Hasło powinno zawierać od 6 do 15 liter lub cyfr"

Kiedyś zrobiłem sobie masową zmianę haseł zacząłem od GG i okazało się, że przesadziłem z liczbą znaków =| Moim zdaniem powinno być tylko ograniczenie minimalne, a maksymalnego wcale.

kwpolska   6 #26 15.02.2012 17:13

obligatoryjny link do xkcd:
http://xkcd.com/936

WODZU   17 #27 15.02.2012 18:05

citeam.pl to w ogóle ciekawy temat :) Nie tak dawno owa strona oferowała mi za 20 zł zakup kuponu, dzięki któremu będę mógł kupić pewien przedmiot o 100 zł taniej, co w sumie po owej promocyjnej obniżce dawało cenę o jakieś 120zł wyższą od cen w innych sklepach :)

max1910   7 #28 15.02.2012 20:01

@Banan: zgadzam się z Tobą, że nie powinno być ograniczenia maksymalnego jest to ograniczanie użytkowników. Zapewne wiele osób mniej zaawansowanych informatycznie powie, że robimy problem tam gdzie go nie ma, gdyż zapamiętanie hasła 6 czy 8 znakowego sprawia już problem a do tego jeszcze cyfry a my tu roztrząsamy sprawę haseł powyżej 16 znaków.
W kolejnym mailu zapytałem allegro na postawie czego stwierdzili, że 16 znaków wystarczy do stworzenia BEZPIECZNEGO hasła.

anakkin   6 #29 15.02.2012 21:11

Generalnie w allegro.pl pole na hasło ma 16 znaków limitu. Następne znaki będą ignorowane. Po 'sztucznej' zmianie długości pola na 160 i dopisaniu paru znaków allegro pokazuje informacje, że hasło jest złe.

M@ster   16 #30 15.02.2012 21:40

@max1910
No dokładnie, hash zajmuje zawsze tyle samo. No jeśli już nawet ktoś wpada w paranoje że obliczanie hasha z dłuższego hasła zjada więcej CPU serwera i transferu do jego przesłania z formy ;) to można dać jakiś limit typu 128 żeby ludzie nie wklejali 10kib haseł ;) - ale nikt chyba aż takim masochistą nie jest. 16 jednak da się bez problemu przekroczyć.

M@ster   16 #31 15.02.2012 21:46

To jeszcze opowiem swój "cool story" z Allegro. Swego czasu zgłaszałem że jeden user po dokonaniu zakupu u niego wysyła mi spam.

Co na to Allegro? chcieli dowodu w postaci tego e-maila z nagłówkiem. No to zapisuje na dysk z thunderbirda plik *.eml (czyli całe źródło maila, wszystko co idzie z serwera do serwera, nic więcej już nie ma).

Na to dostaję odpowiedź że nie ma tam nagłówków... no myślę sobie wtf... sprawdzam w notatniku... oczywiście są. Wysyłam im nawet te źródła w txt. Odpisują mi że tak to jest to ale chcą screena z programu pocztowego gdzie są te nagłówki.

10 maili tłumaczę im że to jest to samo co w .eml i że to jest kompletne źródło e-maila - tym samym obnażam ich niekompetencję. Potem się poddałem, włączyłem w thunderze żeby pokazał najpopularniejsze nagłówki, trzasnąłem zrzut na którym oczywiście widać 5x mniej niż w źródle i wysłałem. I dopiero wtedy przyjęli - no specjaliści pełną gębą.

Do dziś mam zapis tej korespondencji bo na wykop chciałem wrzucić, naprawdę można się pośmiać.

olmeca   12 #32 15.02.2012 21:48

Hmmm, po raz kolejny przekonuje mnie ta sytuacja, ze samo allegro od czasu swoich przeobrazen to jeden wielki problem techniczny.

max1910   7 #33 15.02.2012 22:09

@M@ster:
Pewnie obsługa allegro nie wie co to jest tzw. koperta i jak ja odczytać stąd potrzebowali screena z widokiem nagłówków.
@olmeca:
Ja do tej pory też byłem przekonany, że allegro to jeden z lepiej zabezpieczonych serwisów a tu taka sytuacja.

M@ster   16 #34 15.02.2012 22:10

@max1910
Tylko po co na początku chcieli *.eml skoro nie potrafią sobie z nim poradzić ;)

max1910   7 #35 15.02.2012 22:22

@M@ster:
Nie wiem kto i z jaką wiedzą jest w obsłudze klienta. Jedyny kontakt to elektroniczny więc trudno się zorientować jaki zasób wiedzy posiadają osoby tam pracujące.
Odbiegając od tematu czasem dzwoniąc do pomocy technicznej wole od razu uprzedzić, że wszystkie wskazówki z wyrecytowanej formułki już sprawdziłem.
Miałem kiedyś przypadek, że dzwoniąc do pomocy technicznej poprosiłem o podanie parametrów technicznych do skonfigurowania połaszenia internetowego. Odpowiedź brzmiała, aby się zalogować na stronie i operatora i wtedy uzyskam odpowiednie dane do konta i połaczenia. Ciekawe jak miałem się zalogować jak właśnie dopiero konfigurowałem połączenie z internetem. Dobrze, że miałem dostęp do internetu i sprawdziłem te parametry. Pani która udzielała mi rad przez telefon cały czas upierała się abym zalogował się i pobrał dane.

  #36 16.02.2012 09:30

@dragonn | 14.02.2012 21:30
"czyli hasło gdzieś jest zapisane bez szyfrowania! Bo jak by hasło było zaszyfrowane to by takie coś nie przeszło :/. Ładnie, ładnie z strony allegro"
A jak sobie wyobrażasz _szyfrowanie_ hasła?

  #37 16.02.2012 09:36

@dragonn | 14.02.2012 21:30
"czyli hasło gdzieś jest zapisane bez szyfrowania! Bo jak by hasło było zaszyfrowane to by takie coś nie przeszło :/. Ładnie, ładnie z strony allegro"
A nie pomyślałeś, że mogą zawsze uwzględniać pierwszych 16 znaków?
Załóżmy, że podczas rejestracji ustaliliśmy hasło składające się z 17 znaków: "12345678901234567".
W rzeczywistości w bazie Allegro może znajdować się hash z 16 pierwszych znaków.
Tak więc możemy się zalogować zarówno podając hasło "1234567890123456" jak i "12345678901234567" czy "1234567890123456x".
Formularze partnerów Allegro mogą jednak mieć ograniczenie na długość wpisanego hasła i przyjmować maksymalnie 16 znaków.

  #38 16.02.2012 09:38

@Sidhmor | 14.02.2012 21:33
"Skoro hasło ma dajmy na to 18 znaków, a można się zalogować przy użyciu 16, tak jak to radzi pomoc techniczna, to wydaje mi się, że hasło nie jest haszowane. Skróty byłyby różne."
Ale mogą brać pod uwagę zawsze pierwszych 16 znaków i w bazie może znajdować się hash z właśnie takiego 16-znakowego hasła.

  #39 16.02.2012 09:42

@lukasamd | 14.02.2012 22:40
"Parodia. Hasła powinny być hashowane, a taki przypadek tylko potwierdza te "plotki" które pojawiały się na innych serwisach - nie są hashowane, bo skoro wystarcza podać część hasła a pozwala to na logowanie, to porównuje wpisane dane a nie hashe z nich wygenerowane...."
Ten przypadek nic nie potwierdza. Skoro jak sam stwierdziłeś, biorą pod uwagę tylko 16 pierwszych znaków, to w bazie może znajdować się hash właśnie z takiego maksymalnie 16-znakowego hasła.

  #40 16.02.2012 09:50

@max1910
W przypadku np. neostrady przed skonfigurowaniem połączenia internetowego masz dostęp do specjalnej strony rejestracyjnej.
http://magazynt3.pl/Usprawniamy-Neostrade-Laczenie-bez-aplikacji-dostepowej-TP/

max1910   7 #41 16.02.2012 10:41

@Anonim:
Tak spotkałem się z takim rozwiązaniem, podobnie jest np. w Cyfrowym Polsacie. Przypadek o którym wspominałem był to jakiś lokalny operator nazwy już nie pamiętam.

  #42 16.02.2012 22:33

To żadna nowa informacja, już prawie rok temu dostałem taki komunikat.

  #43 16.02.2012 22:35

górne ograniczenie długości hasła jest z tego powodu, że dla długich haseł hashe mogą się powtórzyć, dla zupełnie innych haseł.

grześ12   7 #44 23.02.2012 22:28

Oj allegro nie dba o bezpieczeństwo swoich użytkowników. Podejrzewam, że gdyby chcieli hasowac, wszystkie hasła to zajęło by im to dużo czasu. Co do gg też miałem podobną sytuacje i wystarczyło uciąć kilka znaków z mojego hasła i się zalogowałem :)

  #45 15.02.2013 01:28

od 5-ciu lat jestem użytkownikiem allegro. Kilka dni temu zmieniłam hasło i od tego momentu nie mogę się zalogować mimo, że poprawnie wpisuję login, email i hasło.( 10 znaków) Za każdym razem pojawia się informacja o źle wypełnionym formularzu jak również, że błędny jest login / email lub hasło. Nie wiem co się dzieje i co zrobić z problemem. Ponieważ nie mam dostępu do konta nie mogę dokonać żadnych zmian.

  #46 15.02.2013 12:58

wcale nie musisz podawać skanu dowodu osobistego! Prawdopodobnie masz info. że błędnie wypełniony formularz. W formularzu masz rubrykę - skan- pobierz plik- i tu możesz wstawić jakiekolwiek zdjęcie jeśli takie masz w kompie. To może być kotek, piesek, samochód obojętnie jakie zdjęcia masz i które ze zdjęć chcesz wstawić. Pod - pobierz plik- nie pojawi się miniaturka zdjęcia, ale będzie małe okienko i JPG . To właśnie będzie twój skan. Wystarczy to wysłać. Potem spróbuj się zalogować na allegro. Może trzeba będzie trochę odczekać. Jeśli nadal pojawi się info. że błąd w formularzu, być może miałeś zapisane stare hasło automatycznie. Skasuj to hasło na stałe ( zaznacz na niebiesko i klawiszem delete usuń) i wpisz poprawne hasło czyli to zmienione . Powinno być dobrze. Miałam ten sam problem. Wykonałam te wszystkie podane czynności i jest ok.

  #47 30.04.2013 19:52

ja obecnie mam 15 zanków i pez problemowo sie loguje

  #48 26.07.2014 14:01

hasla sa zapisane na bazie oracle otwartym tekstem. Tylko amatorzy w taki sposob przechowuja hasla klientow.