Hesla e-mailem v plaintextu? Proč proboha?
Srp 14th, 2009 by Nogard
Pořád mne nepřestává překvapovat, jaké základní chyby jsou schopni na svých webech lidé nechat. A to i když se jedná o weby firemní, zaměřené na online, internet a moderní trendy. Příkladem pro dnešní den z tohoto soudku jsou TyInternety.
Protože moje puntíčkářská povaha neodolala tomu, abych nezanechal komentář pod článkem prznícím češtinu (dávný a ošuntělý problém email/e-mail), tak jsem se na webu TyInternety zaregistroval. Jaké bylo moje překvapení, když mi právě z takovéhoto moderně zaměřeného IT webu dorazil e-mail, kde jsou uvedeny plné přihlašovací údaje v plaintextu. To je podle mne již jednoznačně přežitý přístup a jedna ze základních bezpečnostních chyb – heslo by mělo být zakódované, nemělo by být nikdy možné ho v plaintextu ze systému jakkoli získat.
Když už jsme u těch hesel – za celkem zajímavý a podnětný názor považuji přístup, který radí v login formulářich neskrývat heslo za hvězdičky. Zvláště u složitějších a automaticky generovaných hesel toto opatření totiž může snižovat bezpečnost, protože nutí uživatele psát se heslo vedle.
Reakce TyInternety:
Heslo posíláme v plaintextu pouze v potvrzovacím mailu, v databázi je pak klasicky zakódované přes MD5 hash.
Díky za podnět, promyslíme případnou nápravu
To je uplne normalni a bezna praxe, ze se plantext heslo posle v potvrzovacim mailu jeste pred zakodovanim v DB…
[1] normální? běžné? nesmysl! je to jen a jen hloupé …
Vazeny pane Nogarde,
z Vaseho blogu je patrne, ze jste vskutku erudovany clovek. Email je vskutku stary dobry emajl a ona pomlcka mi opravdu trestuhodne uletla.
Jen se divim, ze pri Vasem rozhledu se divite, proc tajne sluzby vysetruji rabiny s politiky a ze jejich duvody jsou vam taktez tajne. Staci googlovat, washington post a stovky jinych Vam to osvetli.
Ono asi nikdo nejsme vseho znali, ze.
S pozdravem,
Hlasny
[3] Souhlasím, že nikdo nejsme znalí všeho. To prostě není možné. Ale možná by to chtělo z Vaší strany trochu širší perspektivu a číst v souvislostech. Moje podivení bylo totiž nad „vyšetřováním korupční aféry“ – což je u politiků normální, u duchovních už tolik ne. Je to totiž v kontextu vybraných titulků, které mne zaujaly svou neobvyklostí, to je celé.
Nicméně jsem rád, že se mi odpovědi dostalo alespoň zde, když u původního článku na TyInternety byl můj dotaz ignorován – a to i když je to takto invektivní odpověď typu „co si mne dovoluješ opravovat, když si sám blbec“.
Vskutku je to podlě mě také běžná praxe (zasílat heslo při registraci na mail v plaintextu). Bezpečné to samozřejmě není. Někdy je to i dosti překvapivé a infarktové, když si otevřete někde na veřejném místě email, ve kterém tak hezky ční vaše heslo. A nikdy nevíte, kdo se dívá přes rameno :D. Nejsem paranoik, ale tohle se mně fakt nelíbí.
[…] webu TyInternety jsem se tu již zmiňoval. Obsah je zajímavý z mého pohledu tak 50/50, nicméně celkově se jedná o projekt, který se […]