Kilka firm niedawno przyznało się do przechowywania haseł w formacie zwykłego tekstu. To jak przechowywanie hasła w Notatniku i zapisywanie go jako plik .txt. Ze względów bezpieczeństwa hasła powinny być szyfrowane. Dlaczego więc tak się nie dzieje w 2019 roku?
Dlaczego hasła nie powinny być przechowywane w postaci zwykłego tekstu
Gdy firma przechowuje hasła w postaci zwykłego tekstu, każdy, kto ma dostęp do bazy danych haseł lub jakiegokolwiek innego pliku, w którym są przechowywane, może je odczytać. Jeśli haker uzyska dostęp do takiego pliku, będzie mógł zobaczyć wszystkie hasła.
Przechowywanie haseł w postaci zwykłego tekstu to zła praktyka. Firmy powinny haszować i zaszyfrować hasła, co oznacza dodawanie dodatkowych danych do hasła i szyfrowanie go w sposób, którego nie można cofnąć. Dzięki temu, nawet jeśli hasła zostaną wykradzione z bazy danych, stają się bezużyteczne. Kiedy się logujesz, firma może sprawdzić, czy Twoje hasło jest zgodne z zapisanym zaszyfrowanym hasłem, ale nie może „pracować wstecz” i określić Twojego hasła.
Dlaczego więc firmy przechowują hasła w postaci zwykłego tekstu? Niestety, czasami nie traktują poważnie kwestii bezpieczeństwa lub rezygnują z bezpieczeństwa w imię wygody. W niektórych przypadkach firmy robią wszystko dobrze, ale mogą dodać nadgorliwe możliwości logowania, które zapisują hasła w postaci zwykłego tekstu.
Kilka firm ma nieprawidłowo przechowywane hasła
Możesz być dotknięty złymi praktykami, ponieważ Robinhood, Google, Facebook, GitHub, Twitter i inne przechowują hasła w postaci zwykłego tekstu.
W przypadku Google firma odpowiednio szyfrowała hasła dla większości użytkowników. Jednak hasła do kont G Suite Enterprise były przechowywane w postaci zwykłego tekstu. Firma stwierdziła, że była to praktyka, która pozostała z czasów, gdy udostępniła administratorom domeny narzędzia do odzyskiwania haseł. Gdyby Google przechowywało hasła w odpowiedni sposób, proces resetowania hasła byłby wystarczający do odzyskiwania danych.
Kiedy Facebook przyznał się do przechowywania haseł w zwykłym tekście, nie podał dokładnej przyczyny problemu. Można jednak wywnioskować, że:
… odkryliśmy dodatkowe dzienniki haseł do Instagrama przechowywane w czytelnym formacie.
Czasami firma może początkowo przechowywać hasło w sposób poprawny, a następnie dodać nowe funkcje, które powodują problemy. Oprócz Facebooka, Robinhood, GitHub i Twitter przypadkowo zarejestrowali hasła w postaci zwykłego tekstu.
Rejestrowanie jest przydatne do znajdowania problemów w aplikacjach, sprzęcie czy kodzie systemowym. Jednak jeśli firma nie przetestuje dokładnie tej funkcji, może to spowodować więcej problemów, niż rozwiąże.
W przypadku Facebooka i Robinhood, gdy użytkownicy podali swoją nazwę użytkownika i hasło, funkcja logowania mogła rejestrować dane podczas ich wpisywania, a następnie zapisywała te dzienniki w innym miejscu. Każdy, kto miał dostęp do tych dzienników, miał wszystko, czego potrzebował, aby przejąć konto.
W rzadkich przypadkach firmy takie jak T-Mobile Australia mogą lekceważyć znaczenie bezpieczeństwa w imię wygody. W wymiana na Twitterze przedstawiciel T-Mobile wyjaśnił użytkownikowi, że firma przechowuje hasła w postaci zwykłego tekstu, co pozwala przedstawicielom obsługi klienta zobaczyć pierwsze cztery litery hasła w celu potwierdzenia. Kiedy inni użytkownicy Twittera wskazali, jak źle to wygląda, sytuacja stała się głośna.
newsblog.pl