Не е истина – все още има сайтове пазещи паролите в чист текст!?!

След неуспешен опит да се логна в ping.bg се възползвах от опцията за “Забравена парола”. С голямо неудоволствие установих, че вместо линк за подмяна на парола получих паролата си въведена при регистрацията! Това е безумие – чиста проба немарливост!

Всеки сайт трябва да упоменава още при регистрация как се пази паролата на потребителя! Никога няма да се регистрирам в сайт, за който знам, че не ми хешира паролата! От тук нататък всеки сайт, който пускам и изисква регистрация, ще съдържа тази информация.

С този пост започвам и създаването на черен списък със сайтове не хеширащи паролите на потребите:

ping.bg
mobilebulgaria.com
mrbool.com
superhosting.bg
izbori.btv.bg

Защо паролите трябва да се хешират? Това позволява паролите да се пазят в такъв вид, че ако някой открадне базата данни с паролите да не може да разбере каква е оригиналната парола.
Например ако паролата е “sdfsfg34h4jh” в md5 кеш тя представлява “0d2c0a2a462fe807954521b861529286”. При евентуално открадване на базата хакерът ще разполага само с една хеш сума, но много трудно ще разбере каква е истинската парола.

11 Responses to “Не е истина – все още има сайтове пазещи паролите в чист текст!?!”

  1. bubsss says:

    MobileBulgaria са същите, преди време бях писал за това и виж им наглите отговори

    http://www.bubsss.com/blog/topic/104/

    Преди дни установих, че и bgtop.net не ги хешират. Може да ги включваш в списака с ръка на сърцето. Много некадърна и немърлива работа, да не говорим за отношението към потребителите…

  2. Geo says:

    Ще се учудиш колко са много тези сайтове. До някое време superhosting също съхраняваха пароли във вид на чист текст, писах им, но не съм сигурен дали са ги оправили. Дефакто всички cpanel-и също съхраняват в чист текст, тъй като при опит за промяна на парола ако се различава от предната само по 1-2 символа излиза предупреждение и не можеш да си смениш паролата. Това няма как да се направи, ако се пазеха с md5 или sha1.

  3. … да, хич не са малко… Лошото е, че обикновено разбираш, че паролата ти е компрометирана (т.е. има я някъде в чист вид, където може да бъде прочетена), чак когато е твърде късно за реакция…

    Идеята за този черен списък е много хубава, може да се получи нещо като обратен контрол върху простоиите на разработчиците и в края ефекта да е по-високо качество за всички ни… Молбата ми е: популяризиай идеята още малко, нека повече хора се включат, а ако има и начин да се направи някакъв публичен списък с такива сайтове ще е направо перфектно!

    Моите два цента:
    mrbool.com
    И това е от днес, малко преди да прочета статията ти… Вече започвам редовно да си записвам кои са калпазаните! 🙂

  4. Марто says:

    Добавих тези, които споменахте и започнах работата по една допълнителна страничка, в която ще има пълен списък и повече информация.
    Ако знаете и други – давайте ги, че да не се набутваме на тях:))

  5. izbori.btv.bg/

    …така хубаво ми лъсна паролката – Mag се изложиха тоя път!

  6. Drago says:

    md5 е отдавно компрометирано и затова не ви го препоръчвам също. Преди време базата на голям БГ сайт за запознанства бе ударена паролите бяха именно md5 и не си мислете, че хората не можаха да се доберат до паролите.

  7. Марто says:

    Drago, напълно съм съгласен, но въпроса е дали е по-добре md5 или нищо? Със сигурност отговора е ясен:-)
    С всеки допълнителен алгоритъм се добавя ново ниво на сигурност – няма 100% сигурен алгоритъм за съжаление. Идеята е паролите поне малко да се подсигуряват! md5 е най-малкото, което трябва да се направи.

  8. Drago says:

    Тук идва и въпроса дали администраторите/програмистите на въпросните сайтове са с чисти намерения. Ще дам пример. Представете си един такъв сайт имаме информация като имена електронна поща и потребителско име за един потребител. Досещате ли се колко голям е процента на еднакво или поне близкозначни пароли 🙂 , масата потребители ползват една и съща парола или поне с еднаква база на думата на повечето сайтове, също и за електронна поща и каквото още се сетите. Ценна информация, а? 🙂

    Друг проблем с които съм се сблъсквал е : “SELECT password FROM usertable WHERE password=password(‘nekva_si_parola’);

    и познайте, о чудо !!! върнатия резултат е няколко хиляди :), а админите после и 3des или sha512 да слагат … няма смисал 🙂

  9. Марто says:

    Дали се възползват или не не е ясно, можем само да гадаем – невинни до доказване на противното.
    Все пак това тяхното си граничи с престъпна небрежност!

  10. topobiavi.com са същите. Те също не си хешират паролите.

Leave a Reply

CommentLuv badge