Неколико компанија је недавно признало да чувају лозинке у формату обичног текста. То је као да сачувате лозинку у Нотепад-у и сачувате је као .ткт датотеку. Лозинке треба посолити и хеширати ради сигурности, па зашто се то не дешава 2019. године?
Зашто лозинке не би требало да се чувају у обичном тексту
Када компанија складишти лозинке у обичном тексту, свако ко има базу података лозинки – или било коју другу датотеку у којој су лозинке ускладиштене – може да их прочита. Ако хакер добије приступ датотеци, може да види све лозинке.
Чување лозинки у обичном тексту је ужасна пракса. Компаније би требало да соли и хеширају лозинке, што је још један начин да се каже „додавање додатних података лозинки, а затим шифровање на начин који се не може поништити“. То обично значи да чак и ако неко украде лозинке из базе података, оне су неупотребљиве. Када се пријавите, компанија може да провери да ли се ваша лозинка поклапа са сачуваном шифрованом верзијом—али не може да „ради уназад“ из базе података и одреди вашу лозинку.
Па зашто компаније чувају лозинке у отвореном тексту? Нажалост, понекад компаније не схватају озбиљно безбедност. Или бирају да угрозе безбедност у име погодности. У другим случајевима, компанија ради све како треба када чува вашу лозинку. Али они би могли да додају претеране могућности евидентирања, које бележе лозинке у обичном тексту.
Неколико компанија има непрописно ускладиштене лозинке
Можда сте већ погођени лошом праксом јер Робин Худ, Гоогле, Фејсбук, ГитХуб, Твиттер и други чувају лозинке у обичном тексту.
У случају Гугла, компанија је адекватно хеширала и слала лозинке за већину корисника. Али Лозинке налога за Г Суите Ентерприсе су сачувани у обичном тексту. Компанија је рекла да је ово пракса која је остала од када је администраторима домена дала алате за опоравак лозинки. Да је Гоогле правилно ускладиштио лозинке, то не би било могуће. Само процес ресетовања лозинке функционише за опоравак када су лозинке исправно ускладиштене.
Када и Фејсбук признао да чува лозинке у обичном тексту, није дао тачан узрок проблема. Али можете закључити о проблему из каснијег ажурирања:
…открили смо додатне евиденције Инстаграм лозинки које се чувају у читљивом формату.
Понекад ће компанија учинити све како треба када првобитно чува вашу лозинку. А затим додајте нове функције које изазивају проблеме. Поред Фејсбука, Робин Худ, Гитхуб, и Твиттер случајно евидентиране лозинке за обичан текст.
Евидентирање је корисно за проналажење проблема у апликацијама, хардверу, па чак и системском коду. Али ако компанија не тестира ту способност евидентирања темељно, то може изазвати више проблема него што их решава.
У случају Фацебоок-а и Робинхоод-а, када су корисници дали своје корисничко име и лозинку за пријаву, функција евидентирања је могла да види и сними корисничка имена и лозинке како су укуцани. Затим је те дневнике ускладиштио на другом месту. Свако ко је имао приступ тим евиденцијама имао је све што је потребно да преузме налог.
У ретким приликама, компанија попут Т-Мобиле Аустралиа може занемарити важност безбедности, понекад у име погодности. У а од обрисане Твиттер размене, представник Т-Мобиле-а је објаснио кориснику да компанија чува лозинке у обичном тексту. Чување лозинки на тај начин омогућило је представницима корисничке службе да виде прва четири слова лозинке у сврху потврде. Када су други корисници Твитера на одговарајући начин истакли како би било лоше да неки