hesla nejsou hashována a uchovávají se v plaintextu?

phpExternista:
Může případně upřesnit někdo, kdo se na vývoji diskuse podílí přímo, ale nakolik vím, hesla nejsou v databázi v plaintextu.
Drží se hash hesla, což je celkem standardní způsob zabezpečení.

phpExternista:
„je to v plaintextu i v databázi“

Do db se hlesla v plaintextu neukládají.

Reaguji na phpExternistu:
„Navíc naznačuje, že je to v plaintextu i v databázi“
Nenaznačuje.
Nezahashované heslo v potvrzovacím mailu posílá spousta webů. Je to dobrý nápad, protože si jako uživatel nepamatuji, kde jsem se jak registroval a mail s údaji můžu kdykoliv celkem pohodlně najít.

phpExternista:
mě zaujalo to, co jsi z mailu vyvodil, a sice: „Navíc naznačuje, že je to v plaintextu i v databázi“

To přeci z toho, že v mailu máš plaintextové heslo nevyplývá, ne? V době odesílání emailu je heslo v nějaké POST proměnné, přišlo z formuláře. V ten samý okamžik se ukládá hashované do DB a pak se zahodí. O tvém hesle nikdo nic neví, a přesto je v DB uložené bezpečně a ty ho v mailu vidíš.

phpExternista:
Pokud bys heslo zapomenul a přišlo by ti původní heslo, tak to znamená, že je heslo v plaintextu. Takhle to má třeba Toplist.

phpExternista:
„Osobně nevidím důvod ani pro posílání hesla emailem“
Já to obvykle oceňuji, pokud nejde o bankovnictví apod. K registračnímu formuláři by se mohl dávat checkbox "Poslat heslo na mail", ale moc to nevídám.

Z jakého důvodu vám přijde poslání hesla na mail jako bezpečnostní chyba?

Osobně mi to přijde z části taky jako bezpečnostní chyba - pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě, která e-mail dostane (samozřejmě pokud e-mailová adresa existuje - může se lišit jen v tečce, vynechaném písmenku, ...).

phpExternista:
„Osobně nevidím důvod ani pro posílání hesla emailem (riziko vs přínos)“
Ten e-mail můžeš hned vymazat a riziko o chloupek snížit.

joe:
„může tak prozradit své dlouhé utajované heslo prozradit třetí osobě“

Pokud uživatel používá stejné heslo pro různé (i důležité) stránky, tak to bezpečnostní chyba je (bez ohledu zda se heslo pošle mailem).

joe:
„pokud se uživatel splete v zadaném e-mailu, může tak své dlouhé utajované heslo prozradit třetí osobě“
Je-li heslo unikátní, nic se neděje. Že zadal špatný e-mail, to brzy zjistí, a vymyslí heslo jiné. Používá-li ale někdo ve dvaceti aplikacích vždy stejné heslo, riskuje mnohem víc – unikne-li heslo jednou, ať už z jakéhokoli důvodu, je ohroženo dvacet účtů. Vymyslet dvacet různých hesel, která se všechna dají zapamatovat, zas takový problém není: Vvzekee1zakb

Dokonce je možné si je zapsat na papír tak, že i kdyby někdo ten papír našel, nic z toho mít nebude. Zapamatuji si například nějakou konkrétní stránku z mého webu (tu si jako jediný údaj zapamatovat musím). A potom už si jen k různým službám zapíšu číslo věty a algoritmus tvorby hesla:

DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1)
FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3)
Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8)

Jedinci zvláště paranoidní můžou lézt na stránku s „hesly“ z jiného počítače, než ze kterého se potom přihlašují na nějakou tu službu, nebo vymažou historii prohlížení, zavřou prohlížeč, otevřou jiný, podívají se před přihlášením na několik nesouvisejících domén, čísla vět a algoritmy hesel mají opravdu jen na papírku a ne někde na webu atp.

Petr ZZZ:
Pokud už bych si měl pamatovat nějakou větu a docela složitý algoritmus, radši si zamapatuji kratší (ne uplně smysluplnou) větu a prostě jí použiji jako heslo. Pokud bude mít čtyřicet znaků, bude mnohonásobně silnější než to, cos napsal ty.
Třeba heslo RobotSežralZelenéKoblihyMéhoAuta! je velmi silné a domnívám se, že i slovníkový útok by byl neúspěšný. Jde o text v češtině, je to dost dlouhé a přestože je to gramaticky správně, slova dohromady nedávají smysl. Ale hlavně se to dá velmi snadno zapamatovat (a také velmi rychle napsat).

Ale bude tu ta nevýhoda, že na všech stránkách budeš mít stejné heslo. Petrova metoda umožňuje mít všude jiné heslo a nějakou pomůcku zapsanou na papíře, takže ti stačí si pamatovat tu větu a co znamenají jednotlivá čísla na papíře.

Bude si pamatovat větu RobotSežralZelenéKoblihyMéhoAuta a pak na ní aplikuje
DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1)
FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3)
Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8)
ať už to znamená cokoli.

Reaguji na joa:
„pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě“
Myslím, že únik jednoho hesla do náhodných rukou nepředstavuje reálně příliš velkou hrozbu. Třetí osoba by se dozvěděla akorát tajné heslo a jakousi přezdívku…


Reaguji na Petra ZZZ:
„Je-li heslo unikátní, nic se neděje.“
Ano a postupů, jak takové heslo sestavit, jde vymyslet hodně… čímž bych debatu na téma vymýšlení hesla uzavřel :-)
Bezpečnostní pravidla by měla částečně počítat s tím, že uživatel není dokonalý a tedy že žádný postup na sestavování unikátních hesel nemá.

Větší problém, než mít všude stejné heslo, je provázání mnoha různých účtů na různých službách se stejným e-mailem. Pak stačí útočníkovi dostat se do mailové schránky a má přístup ke všemu. Nehledě na to, zda se v té schránce válejí staré maily s hesly — může si nechat poslat nová hesla. Nevymazané zprávy s potvrzením registrace (ať už s hesly či bez hesel) útočníkovi akorát říkají, kam dál se ještě může dostat.