Autor Zpráva
phpExternista
Profil
Po registraci mi přišlo heslo na email v plaintextu. Už to samo o sobě je bezpečnostní chyba. Navíc naznačuje, že je to v plaintextu i v databázi: obzvlášť absurdní na webu o tvorbě webu...
Joker
Profil
phpExternista:
Může případně upřesnit někdo, kdo se na vývoji diskuse podílí přímo, ale nakolik vím, hesla nejsou v databázi v plaintextu.
Drží se hash hesla, což je celkem standardní způsob zabezpečení.
Kajman
Profil
phpExternista:
je to v plaintextu i v databázi

Do db se hlesla v plaintextu neukládají.
Chamurappi
Profil
Reaguji na phpExternistu:
Navíc naznačuje, že je to v plaintextu i v databázi
Nenaznačuje.
Nezahashované heslo v potvrzovacím mailu posílá spousta webů. Je to dobrý nápad, protože si jako uživatel nepamatuji, kde jsem se jak registroval a mail s údaji můžu kdykoliv celkem pohodlně najít.
panther
Profil
phpExternista:
mě zaujalo to, co jsi z mailu vyvodil, a sice: „Navíc naznačuje, že je to v plaintextu i v databázi

To přeci z toho, že v mailu máš plaintextové heslo nevyplývá, ne? V době odesílání emailu je heslo v nějaké POST proměnné, přišlo z formuláře. V ten samý okamžik se ukládá hashované do DB a pak se zahodí. O tvém hesle nikdo nic neví, a přesto je v DB uložené bezpečně a ty ho v mailu vidíš.
margin
Profil *
phpExternista:
Pokud bys heslo zapomenul a přišlo by ti původní heslo, tak to znamená, že je heslo v plaintextu. Takhle to má třeba Toplist.
phpExternista
Profil
ok. Osobně nevidím důvod ani pro posílání hesla emailem (riziko vs přínos), ale alespoň že se to neválí v databázi. Díky zúčastněným za informace.
Alphard
Profil
phpExternista:
Osobně nevidím důvod ani pro posílání hesla emailem
Já to obvykle oceňuji, pokud nejde o bankovnictví apod. K registračnímu formuláři by se mohl dávat checkbox "Poslat heslo na mail", ale moc to nevídám.
Str4wberry
Profil
Z jakého důvodu vám přijde poslání hesla na mail jako bezpečnostní chyba?
joe
Profil
Osobně mi to přijde z části taky jako bezpečnostní chyba - pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě, která e-mail dostane (samozřejmě pokud e-mailová adresa existuje - může se lišit jen v tečce, vynechaném písmenku, ...).
Davex
Profil
phpExternista:
Osobně nevidím důvod ani pro posílání hesla emailem (riziko vs přínos)
Ten e-mail můžeš hned vymazat a riziko o chloupek snížit.
Kajman
Profil
joe:
může tak prozradit své dlouhé utajované heslo prozradit třetí osobě

Pokud uživatel používá stejné heslo pro různé (i důležité) stránky, tak to bezpečnostní chyba je (bez ohledu zda se heslo pošle mailem).
Petr ZZZ
Profil
joe:
„pokud se uživatel splete v zadaném e-mailu, může tak své dlouhé utajované heslo prozradit třetí osobě“
Je-li heslo unikátní, nic se neděje. Že zadal špatný e-mail, to brzy zjistí, a vymyslí heslo jiné. Používá-li ale někdo ve dvaceti aplikacích vždy stejné heslo, riskuje mnohem víc – unikne-li heslo jednou, ať už z jakéhokoli důvodu, je ohroženo dvacet účtů. Vymyslet dvacet různých hesel, která seechna dají zapamatovat, zas takový problém není: Vvzekee1zakb

Dokonce je možné si je zapsat na papír tak, že i kdyby někdo ten papír našel, nic z toho mít nebude. Zapamatuji si například nějakou konkrétní stránku z mého webu (tu si jako jediný údaj zapamatovat musím). A potom už si jen k různým službám zapíšu číslo věty a algoritmus tvorby hesla:

DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1)
FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3)
Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8)

Jedinci zvláště paranoidní můžou lézt na stránku s „hesly“ z jiného počítače, než ze kterého se potom přihlašují na nějakou tu službu, nebo vymažou historii prohlížení, zavřou prohlížeč, otevřou jiný, podívají se před přihlášením na několik nesouvisejících domén, čísla vět a algoritmy hesel mají opravdu jen na papírku a ne někde na webu atp.
Amunak
Profil
Petr ZZZ:
Pokud už bych si měl pamatovat nějakou větu a docela složitý algoritmus, radši si zamapatuji kratší (ne uplně smysluplnou) větu a prostě jí použiji jako heslo. Pokud bude mít čtyřicet znaků, bude mnohonásobně silnější než to, cos napsal ty.
Třeba heslo RobotSežralZelenéKoblihyMéhoAuta! je velmi silné a domnívám se, že i slovníkový útok by byl neúspěšný. Jde o text v češtině, je to dost dlouhé a přestože je to gramaticky správně, slova dohromady nedávají smysl. Ale hlavně se to dá velmi snadno zapamatovat (a také velmi rychle napsat).
preca1
Profil
Ale bude tu ta nevýhoda, že na všech stránkách budeš mít stejné heslo. Petrova metoda umožňuje mít všude jiné heslo a nějakou pomůcku zapsanou na papíře, takže ti stačí si pamatovat tu větu a co znamenají jednotlivá čísla na papíře.

Bude si pamatovat větu RobotSežralZelenéKoblihyMéhoAuta a pak na ní aplikuje
DJPW: 1 (1, 2, 3, 4, 2, 2, 2, 2, 4, 3, 2, 1)
FB: 58 (1, 1, 1, 2, 2, 2, 3, 3, 3, 1, 2, 3)
Mail: 28 (1, 2, 3, 4, 5, 6, 7, 8)
ať už to znamená cokoli.
Chamurappi
Profil
Reaguji na joa:
pokud se uživatel splete v zadaném e-mailu, může tak prozradit své dlouhé utajované heslo prozradit třetí osobě
Myslím, že únik jednoho hesla do náhodných rukou nepředstavuje reálně příliš velkou hrozbu. Třetí osoba by se dozvěděla akorát tajné heslo a jakousi přezdívku…


Reaguji na Petra ZZZ:
Je-li heslo unikátní, nic se neděje.
Ano a postupů, jak takové heslo sestavit, jde vymyslet hodně… čímž bych debatu na téma vymýšlení hesla uzavřel :-)
Bezpečnostní pravidla by měla částečně počítat s tím, že uživatel není dokonalý a tedy že žádný postup na sestavování unikátních hesel nemá.

Větší problém, než mít všude stejné heslo, je provázání mnoha různých účtů na různých službách se stejným e-mailem. Pak stačí útočníkovi dostat se do mailové schránky a má přístup ke všemu. Nehledě na to, zda se v té schránce válejí staré maily s hesly — může si nechat poslat nová hesla. Nevymazané zprávy s potvrzením registrace (ať už s hesly či bez hesel) útočníkovi akorát říkají, kam dál se ještě může dostat.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: