След неуспешен опит да се логна в ping.bg се възползвах от опцията за “Забравена парола”. С голямо неудоволствие установих, че вместо линк за подмяна на парола получих паролата си въведена при регистрацията! Това е безумие – чиста проба немарливост!
Всеки сайт трябва да упоменава още при регистрация как се пази паролата на потребителя! Никога няма да се регистрирам в сайт, за който знам, че не ми хешира паролата! От тук нататък всеки сайт, който пускам и изисква регистрация, ще съдържа тази информация.
С този пост започвам и създаването на черен списък със сайтове не хеширащи паролите на потребите:
ping.bg
mobilebulgaria.com
mrbool.com
superhosting.bg
izbori.btv.bg
Защо паролите трябва да се хешират? Това позволява паролите да се пазят в такъв вид, че ако някой открадне базата данни с паролите да не може да разбере каква е оригиналната парола.
Например ако паролата е “sdfsfg34h4jh” в md5 кеш тя представлява “0d2c0a2a462fe807954521b861529286”. При евентуално открадване на базата хакерът ще разполага само с една хеш сума, но много трудно ще разбере каква е истинската парола.
