Kilka firm niedawno przyznało się do przechowywania haseł w formacie zwykłego tekstu. To jak przechowywanie hasła w Notatniku i zapisywanie go jako plik .txt. Ze względów bezpieczeństwa hasła powinny być zaszyfrowane i zaszyfrowane, więc dlaczego tak się nie dzieje w 2019 roku?
Dlaczego hasła nie powinny być przechowywane w postaci zwykłego tekstu
Gdy firma przechowuje hasła w postaci zwykłego tekstu, każdy, kto ma bazę danych haseł – lub jakikolwiek inny plik, w którym są przechowywane hasła – może je odczytać. Jeśli haker uzyska dostęp do pliku, będzie mógł zobaczyć wszystkie hasła.
Przechowywanie haseł w postaci zwykłego tekstu to straszna praktyka. Firmy powinny podrabiać i haszować hasła, co jest innym sposobem na powiedzenie „dodawanie dodatkowych danych do hasła, a następnie szyfrowanie w sposób, którego nie można cofnąć”. Zwykle oznacza to, że nawet jeśli ktoś wykradnie hasła z bazy danych, są one bezużyteczne. Kiedy się logujesz, firma może sprawdzić, czy Twoje hasło jest zgodne z zapisaną zaszyfrowaną wersją, ale nie może „pracować wstecz” z bazy danych i określić Twojego hasła.
Dlaczego więc firmy przechowują hasła w postaci zwykłego tekstu? Niestety, czasami firmy nie traktują poważnie kwestii bezpieczeństwa. Lub rezygnują z bezpieczeństwa w imię wygody. W innych przypadkach firma robi wszystko dobrze podczas przechowywania hasła. Ale mogą dodać nadgorliwe możliwości logowania, które zapisują hasła w postaci zwykłego tekstu.
Kilka firm ma nieprawidłowo przechowywane hasła
Możesz już być dotknięty złymi praktykami, ponieważ Robinhood, Google, Facebook, GitHub, Twitter i inne przechowują hasła w postaci zwykłego tekstu.
W przypadku Google firma odpowiednio szyfowała i zaszyfrowała hasła dla większości użytkowników. Ale Hasła do kont G Suite Enterprise były przechowywane w postaci zwykłego tekstu. Firma twierdzi, że była to praktyka, która pozostała z czasów, gdy udostępniła administratorom domeny narzędzia do odzyskiwania haseł. Nie byłoby to możliwe, gdyby Google odpowiednio przechowywał hasła. Tylko proces resetowania hasła działa w przypadku odzyskiwania, gdy hasła są prawidłowo przechowywane.
Kiedy Facebook też przyznał się do przechowywania haseł w zwykłym tekście nie podał dokładnej przyczyny problemu. Ale możesz wywnioskować problem z późniejszej aktualizacji:
… Odkryliśmy dodatkowe dzienniki haseł do Instagrama przechowywane w czytelnym formacie.
Czasami firma zrobi wszystko dobrze, początkowo przechowując hasło. A następnie dodaj nowe funkcje, które powodują problemy. Oprócz Facebooka, Robinhood, Github, i Świergot przypadkowo zarejestrowane hasła w postaci zwykłego tekstu.
Rejestrowanie jest przydatne do znajdowania problemów w aplikacjach, sprzęcie, a nawet w kodzie systemowym. Ale jeśli firma nie przetestuje dokładnie tej możliwości rejestrowania, może to spowodować więcej problemów, niż rozwiązuje.
W przypadku Facebooka i Robinhood, gdy użytkownicy podali swoją nazwę użytkownika i hasło, aby się zalogować, funkcja logowania mogła przeglądać i rejestrować nazwy użytkownika i hasła podczas ich wpisywania. Następnie zapisał te dzienniki w innym miejscu. Każdy, kto miał dostęp do tych dzienników, miał wszystko, czego potrzebował, aby przejąć konto.
W rzadkich przypadkach firma taka jak T-Mobile Australia może lekceważyć znaczenie bezpieczeństwa, czasami w imię wygody. W wymiana na Twitterze od czasu usunięcia, przedstawiciel T-Mobile wyjaśnił użytkownikowi, że firma przechowuje hasła w postaci zwykłego tekstu. Przechowywanie haseł w ten sposób pozwoliło przedstawicielom obsługi klienta zobaczyć pierwsze cztery litery hasła w celu potwierdzenia. Kiedy inni użytkownicy Twittera odpowiednio wskazali, jak źle by było, gdyby niektórzy