Autor | Zpráva | ||
---|---|---|---|
phpExternista Profil |
#1 · Zasláno: 22. 11. 2012, 14:46:31
Po registraci mi přišlo heslo na email v plaintextu. Už to samo o sobě je bezpečnostní chyba. Navíc naznačuje, že je to v plaintextu i v databázi: obzvlášť absurdní na webu o tvorbě webu...
|
||
Joker Profil |
#2 · Zasláno: 22. 11. 2012, 14:54:02
phpExternista:
Může případně upřesnit někdo, kdo se na vývoji diskuse podílí přímo, ale nakolik vím, hesla nejsou v databázi v plaintextu. Drží se hash hesla, což je celkem standardní způsob zabezpečení. |
||
Kajman Profil |
#3 · Zasláno: 22. 11. 2012, 14:54:53
phpExternista:
„je to v plaintextu i v databázi“ Do db se hlesla v plaintextu neukládají. |
||
Chamurappi Profil |
#4 · Zasláno: 22. 11. 2012, 15:03:19
Reaguji na phpExternistu:
„Navíc naznačuje, že je to v plaintextu i v databázi“ Nenaznačuje. Nezahashované heslo v potvrzovacím mailu posílá spousta webů. Je to dobrý nápad, protože si jako uživatel nepamatuji, kde jsem se jak registroval a mail s údaji můžu kdykoliv celkem pohodlně najít. |
||
panther Profil |
#5 · Zasláno: 22. 11. 2012, 15:16:29
phpExternista:
mě zaujalo to, co jsi z mailu vyvodil, a sice: „Navíc naznačuje, že je to v plaintextu i v databázi“ To přeci z toho, že v mailu máš plaintextové heslo nevyplývá, ne? V době odesílání emailu je heslo v nějaké POST proměnné, přišlo z formuláře. V ten samý okamžik se ukládá hashované do DB a pak se zahodí. O tvém hesle nikdo nic neví, a přesto je v DB uložené bezpečně a ty ho v mailu vidíš. |
||
margin Profil * |
#6 · Zasláno: 22. 11. 2012, 15:59:05
phpExternista:
Pokud bys heslo zapomenul a přišlo by ti původní heslo, tak to znamená, že je heslo v plaintextu. Takhle to má třeba Toplist. |
||
phpExternista Profil |
#7 · Zasláno: 22. 11. 2012, 23:27:50
ok. Osobně nevidím důvod ani pro posílání hesla emailem (riziko vs přínos), ale alespoň že se to neválí v databázi. Díky zúčastněným za informace.
|
||
Alphard Profil |
#8 · Zasláno: 22. 11. 2012, 23:47:23
phpExternista:
„Osobně nevidím důvod ani pro posílání hesla emailem“ Já to obvykle oceňuji, pokud nejde o bankovnictví apod. K registračnímu formuláři by se mohl dávat checkbox "Poslat heslo na mail", ale moc to nevídám. |
||
Str4wberry Profil |
#9 · Zasláno: 23. 11. 2012, 00:02:48
Z jakého důvodu vám přijde poslání hesla na mail jako bezpečnostní chyba?
|
||
joe Profil |
#10 · Zasláno: 23. 11. 2012, 00:19:13
Osobně mi to přijde z části taky jako bezpečnostní chyba - pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě, která e-mail dostane (samozřejmě pokud e-mailová adresa existuje - může se lišit jen v tečce, vynechaném písmenku, ...).
|
||
Davex Profil |
#11 · Zasláno: 23. 11. 2012, 00:21:02
phpExternista:
„Osobně nevidím důvod ani pro posílání hesla emailem (riziko vs přínos)“ Ten e-mail můžeš hned vymazat a riziko o chloupek snížit. |
||
Kajman Profil |
#12 · Zasláno: 23. 11. 2012, 09:19:49
joe:
„může tak prozradit své dlouhé utajované heslo prozradit třetí osobě“ Pokud uživatel používá stejné heslo pro různé (i důležité) stránky, tak to bezpečnostní chyba je (bez ohledu zda se heslo pošle mailem). |
||
Petr ZZZ Profil |
joe:
„pokud se uživatel splete v zadaném e-mailu, může tak své dlouhé utajované heslo prozradit třetí osobě“ Je-li heslo unikátní, nic se neděje. Že zadal špatný e-mail, to brzy zjistí, a vymyslí heslo jiné. Používá-li ale někdo ve dvaceti aplikacích vždy stejné heslo, riskuje mnohem víc – unikne-li heslo jednou, ať už z jakéhokoli důvodu, je ohroženo dvacet účtů. Vymyslet dvacet různých hesel, která se všechna dají zapamatovat, zas takový problém není: Vvzekee1zakb Dokonce je možné si je zapsat na papír tak, že i kdyby někdo ten papír našel, nic z toho mít nebude. Zapamatuji si například nějakou konkrétní stránku z mého webu (tu si jako jediný údaj zapamatovat musím). A potom už si jen k různým službám zapíšu číslo věty a algoritmus tvorby hesla: DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1) FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3) Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8) Jedinci zvláště paranoidní můžou lézt na stránku s „hesly“ z jiného počítače, než ze kterého se potom přihlašují na nějakou tu službu, nebo vymažou historii prohlížení, zavřou prohlížeč, otevřou jiný, podívají se před přihlášením na několik nesouvisejících domén, čísla vět a algoritmy hesel mají opravdu jen na papírku a ne někde na webu atp. |
||
Amunak Profil |
Petr ZZZ:
Pokud už bych si měl pamatovat nějakou větu a docela složitý algoritmus, radši si zamapatuji kratší (ne uplně smysluplnou) větu a prostě jí použiji jako heslo. Pokud bude mít čtyřicet znaků, bude mnohonásobně silnější než to, cos napsal ty. Třeba heslo RobotSežralZelenéKoblihyMéhoAuta! je velmi silné a domnívám se, že i slovníkový útok by byl neúspěšný. Jde o text v češtině, je to dost dlouhé a přestože je to gramaticky správně, slova dohromady nedávají smysl. Ale hlavně se to dá velmi snadno zapamatovat (a také velmi rychle napsat). |
||
preca1 Profil |
#15 · Zasláno: 23. 11. 2012, 10:20:20
Ale bude tu ta nevýhoda, že na všech stránkách budeš mít stejné heslo. Petrova metoda umožňuje mít všude jiné heslo a nějakou pomůcku zapsanou na papíře, takže ti stačí si pamatovat tu větu a co znamenají jednotlivá čísla na papíře.
Bude si pamatovat větu RobotSežralZelenéKoblihyMéhoAuta a pak na ní aplikuje DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1) FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3) Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8) ať už to znamená cokoli. |
||
Chamurappi Profil |
Reaguji na joa:
„pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě“ Myslím, že únik jednoho hesla do náhodných rukou nepředstavuje reálně příliš velkou hrozbu. Třetí osoba by se dozvěděla akorát tajné heslo a jakousi přezdívku… Reaguji na Petra ZZZ: „Je-li heslo unikátní, nic se neděje.“ Ano a postupů, jak takové heslo sestavit, jde vymyslet hodně… čímž bych debatu na téma vymýšlení hesla uzavřel :-) Bezpečnostní pravidla by měla částečně počítat s tím, že uživatel není dokonalý a tedy že žádný postup na sestavování unikátních hesel nemá. Větší problém, než mít všude stejné heslo, je provázání mnoha různých účtů na různých službách se stejným e-mailem. Pak stačí útočníkovi dostat se do mailové schránky a má přístup ke všemu. Nehledě na to, zda se v té schránce válejí staré maily s hesly — může si nechat poslat nová hesla. Nevymazané zprávy s potvrzením registrace (ať už s hesly či bez hesel) útočníkovi akorát říkají, kam dál se ještě může dostat. |
||
Časová prodleva: 11 let
|
0