Марто at home



« | »

Не е истина – все още има сайтове пазещи паролите в чист текст!?!

След неуспешен опит да се логна в ping.bg се възползвах от опцията за “Забравена парола”. С голямо неудоволствие установих, че вместо линк за подмяна на парола получих паролата си въведена при регистрацията! Това е безумие – чиста проба немарливост!

Всеки сайт трябва да упоменава още при регистрация как се пази паролата на потребителя! Никога няма да се регистрирам в сайт, за който знам, че не ми хешира паролата! От тук нататък всеки сайт, който пускам и изисква регистрация, ще съдържа тази информация.

С този пост започвам и създаването на черен списък със сайтове не хеширащи паролите на потребите:

ping.bg
mobilebulgaria.com
mrbool.com
superhosting.bg
izbori.btv.bg

Защо паролите трябва да се хешират? Това позволява паролите да се пазят в такъв вид, че ако някой открадне базата данни с паролите да не може да разбере каква е оригиналната парола.
Например ако паролата е “sdfsfg34h4jh” в md5 кеш тя представлява “0d2c0a2a462fe807954521b861529286”. При евентуално открадване на базата хакерът ще разполага само с една хеш сума, но много трудно ще разбере каква е истинската парола.

Posted by on 22 April 2009.

Tags:

Categories: Интернет, Програмиране

11 Responses

  1. MobileBulgaria са същите, преди време бях писал за това и виж им наглите отговори

    http://www.bubsss.com/blog/topic/104/

    Преди дни установих, че и bgtop.net не ги хешират. Може да ги включваш в списака с ръка на сърцето. Много некадърна и немърлива работа, да не говорим за отношението към потребителите…

    by bubsss on Apr 22, 2009 at 22:48

  2. Ще се учудиш колко са много тези сайтове. До някое време superhosting също съхраняваха пароли във вид на чист текст, писах им, но не съм сигурен дали са ги оправили. Дефакто всички cpanel-и също съхраняват в чист текст, тъй като при опит за промяна на парола ако се различава от предната само по 1-2 символа излиза предупреждение и не можеш да си смениш паролата. Това няма как да се направи, ако се пазеха с md5 или sha1.

    by Geo on Apr 23, 2009 at 08:27

  3. … да, хич не са малко… Лошото е, че обикновено разбираш, че паролата ти е компрометирана (т.е. има я някъде в чист вид, където може да бъде прочетена), чак когато е твърде късно за реакция…

    Идеята за този черен списък е много хубава, може да се получи нещо като обратен контрол върху простоиите на разработчиците и в края ефекта да е по-високо качество за всички ни… Молбата ми е: популяризиай идеята още малко, нека повече хора се включат, а ако има и начин да се направи някакъв публичен списък с такива сайтове ще е направо перфектно!

    Моите два цента:
    mrbool.com
    И това е от днес, малко преди да прочета статията ти… Вече започвам редовно да си записвам кои са калпазаните! 🙂

    by Цветелин Павлов on Apr 23, 2009 at 13:13

  4. Добавих тези, които споменахте и започнах работата по една допълнителна страничка, в която ще има пълен списък и повече информация.
    Ако знаете и други – давайте ги, че да не се набутваме на тях:))

    by Марто on Apr 23, 2009 at 16:34

  5. edno23?

    by Марио Пешев on May 1, 2009 at 18:52

  6. izbori.btv.bg/

    …така хубаво ми лъсна паролката – Mag се изложиха тоя път!

    by Цветелин Павлов on Jun 3, 2009 at 09:22

  7. md5 е отдавно компрометирано и затова не ви го препоръчвам също. Преди време базата на голям БГ сайт за запознанства бе ударена паролите бяха именно md5 и не си мислете, че хората не можаха да се доберат до паролите.

    by Drago on Jun 26, 2009 at 22:42

  8. Drago, напълно съм съгласен, но въпроса е дали е по-добре md5 или нищо? Със сигурност отговора е ясен:-)
    С всеки допълнителен алгоритъм се добавя ново ниво на сигурност – няма 100% сигурен алгоритъм за съжаление. Идеята е паролите поне малко да се подсигуряват! md5 е най-малкото, което трябва да се направи.

    by Марто on Jun 29, 2009 at 13:39

  9. Тук идва и въпроса дали администраторите/програмистите на въпросните сайтове са с чисти намерения. Ще дам пример. Представете си един такъв сайт имаме информация като имена електронна поща и потребителско име за един потребител. Досещате ли се колко голям е процента на еднакво или поне близкозначни пароли 🙂 , масата потребители ползват една и съща парола или поне с еднаква база на думата на повечето сайтове, също и за електронна поща и каквото още се сетите. Ценна информация, а? 🙂

    Друг проблем с които съм се сблъсквал е : “SELECT password FROM usertable WHERE password=password(‘nekva_si_parola’);

    и познайте, о чудо !!! върнатия резултат е няколко хиляди :), а админите после и 3des или sha512 да слагат … няма смисал 🙂

    by Drago on Jul 7, 2009 at 19:14

  10. Дали се възползват или не не е ясно, можем само да гадаем – невинни до доказване на противното.
    Все пак това тяхното си граничи с престъпна небрежност!

    by Марто on Jul 8, 2009 at 16:55

  11. topobiavi.com са същите. Те също не си хешират паролите.

    by Мартин Радев on Aug 7, 2010 at 21:00

Leave a Reply

CommentLuv badge

« | »




Recent Posts


Pages