Autor Zpráva
doyle
Profil
Myslite, ze posilat heslo v hole podobe v e-mailu potvrzujicim registraci na foru je dobry napad ?

Na strankach jednoho on-line obchodu mne to dost rozcililo, ale na foru kde se snazite lidem vysvetlit "jak psat web" mi to prijde jako smutna ironie ...

Moderátor Chamurappi: Tvůj projev je špatně srozumitelný, piš prosím s diakritikou. A před otazníkem se nedělá mezera.
Jan Tvrdík
Profil
doyle:
Myslite, ze posilat heslo v hole podobe v e-mailu potvrzujicim registraci na foru je dobry napad ?
Ne, nicméně tady jsou větší bezpečnostní problémy.
doyle
Profil
to mne uklidnilo :-)
Chamurappi
Profil
Reaguji na doyle:
Proč myslíš, že je to problém? Můžeš si ten mail vymazat, pokud ho považuješ za hrozbu.
Pokud se ti někdo dostane do schránky, tak stejně může nad tvým účtem získat kontrolu tím, že si nechá vygenerovat nové heslo.
Str4wberry
Profil
Když jsem ještě nepoužíval žádného správce hesel, tak mě služby, které heslo neposílaly do mailu, štvaly, protože jsem si místo jednoduchého prohledání Inboxu musel heslo resetovat.

Co vám tak vadí na tom, že heslo přijde e-mailem?
doyle
Profil
Problém je v tom, že ještě není ani ověřeno to, jestli ten mail je odeslán skutečně tomu, kdo se zaregistroval (příchází to v prvním mailu od fóra a registrující uživatel se mohl upsat). Navíc mail může urazit cestu po pár kdovíjakejch smtp serverech. A pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně ? Na čemž se podle reakcí na fóru shodnem, že není dobrej nápad.

Pro podobné registrace používám různe varianty jednoho hesla, vím, že to není dobrej nápad, ale nejsem stroj a sdílet heslovník mezi více počitači taky není jednoduché udělat tak, aby to bylo bezpečné.

Omlouvám se, že jsem byl nepříjemný, ale trochu mne to namíchlo. Co se týká diakritiky jsem zvyklej psát na EN klávesnici a přepnutí do diakritiky pak trochu bolí, ale už sem si všiml, že mne za to editor buzeruje, tak se snažím.
lionel messi
Profil
Str4wberry:
Co vám tak vadí na tom, že heslo přijde e-mailem?
doyle možno používa jedno heslo variácie jedného hesla pre rôzne služby, čo mi príde ako smutná irónia…
Jan Tvrdík
Profil
Str4wberry:
Co vám tak vadí na tom, že heslo přijde e-mailem?
Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.
lionel messi
Profil
Jan Tvrdík:
Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.
Čo porušuje napr. väčšina hostingov…
Str4wberry
Profil
Reakce na Jana Tvrdíka:
Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.

A jak heslo z toho e-mailu mám zjistit, když v plaintextu nebude?
aDAm
Profil
lionel messi:
příklad kdo to porušuje?

doyle:
a co takhle když je první heslo generována systémem, jak je pak chceš uživateli sdělit? a přece ti nikdo nebrání v tom aby sis heslo změnil, takže pokud se ti nelíbí poslání hesla mailem, tak zadej 123, aktivuj si účet heslo změň na to co uznáš za vhodné.
DJ Miky
Profil
Když už je potřeba e-mail s heslem zachovat, tak mi přijde jako dobrý zvyk uživatele na registrační stránce upozornit, že heslo přijde e-mailem v čisté podobě. Pak s tím člověk může počítat a zadat nějaké jednoduché dočasné heslo, které si hned po registraci změní.


Str4wberry:
A jak heslo z toho e-mailu mám zjistit, když v plaintextu nebude?

Třeba si pamatovat, co jsem zadal před třemi minutami do kolonky „heslo“ :-).
lionel messi
Profil
aDAm:
Trafená hus zagágala? :-) Trebárs moje slovenské hostingy, s kt. mám skúsenosť, konkretizovať je irelevantné.
_es
Profil
Chamurappi:
Pokud se ti někdo dostane do schránky, tak stejně může nad tvým účtem získat kontrolu tím, že si nechá vygenerovat nové heslo.
To nie je to isté. Na zistenie hesla z mailu sa stačí dostať k nejakým starším kópiám mailov, na vygenerovanie nového hesla treba získať aktívny prístup k mailovej schránke.
Str4wberry
Profil
Reakce na DJ Mikyho:
Třeba si pamatovat, co jsem zadal před třemi minutami do kolonky ‚heslo‘ :-).

Registrační heslo z e-mailu potřebuji většinou až za několik měsíců až let po registraci, kdy ho prohlížeč zapomene a já už si ho také nepamatuji.
Joker
Profil
doyle:
A pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně ? Na čemž se podle reakcí na fóru shodnem, že není dobrej nápad.
Heslo v DB zahashované je, ale po registraci je ještě k dispozici hodnota zadaná přímo v políčku.
Bohužel diskuse vznikla evolucí staré verze miniBB, která obsahovala mraky bezpečnostních chyb.

Takže asi nejlépe to shrnul Jan Tvrdík v [#2]
Jan Tvrdík
Profil
Str4wberry:
já už si ho také nepamatuji
Proto existuje funkce zapomenuté heslo =) Snižovat bezpečnost všem lidem kvůli špatné paměti některých lidí (já sem patřím pochopitelně taky) je hloupý nápad.
Str4wberry
Profil
Reakce na Jana Tvrdíka:
Proto existuje funkce zapomenuté heslo =)
Ano, takže budu muset jít do e-mailu, vyhledat si adresu e-mailu použitého pro zmíněnou službu (potud stejné), vyplnit formulář „Zapomenuté heslo“, počkat na e-mail. Zvlášť otravná situace potom je v případě, kdy jsem přihlášen na zařízení A, ale chci se přihlásit na zařízení B a heslo si nepamatuji. Když by mi pohodlně přišlo do e-mailu, tak si ho najdu a za pár sekund funguji. Takhle musím heslo resetovat a vymyslet nové, což mě odhlásí v zařízení A, takže až se na něj vrátím, budu muset resetovat heslo znovu, protože už ho třeba zase nebudu vědět. A tak dále…

Podle mě je dobré si uvědomit, že DJPW není internetové bankovnictví nebo podobná aplikace s vysokým nárokem na zabezpečení*. Tedy zvýšit komfort na úkor bezpečnosti mi přijde v pohodě a žádoucí.

*) Kromě moderátorů má heslo v podstatě smysl jen pro možnost upravovat stránku profilu.
aDAm
Profil
lionel messi:
nevím jestli seš husa. Já se jen zeptal kde ty hesla v plainu ukladaji a jak můžeš své tvrzení podložit, zda tedy máš přístupy do jejich DB kde vidíš hesla apod.
Amunak
Profil
Je pravda, že když aplikace sama vygeneruje heslo, logicky ho musí poslat na mail. A asi by bylo lepší, kdyby to nedělala, pokud si heslo volí sám uživatel. Ale zase to aspoň (snad) lidi upozorní na to, že by měli mít různá hesla na různých místech.

doyle:
Pro podobné registrace používám různe varianty jednoho hesla, vím, že to není dobrej nápad, ale nejsem stroj a sdílet heslovník mezi více počitači taky není jednoduché udělat tak, aby to bylo bezpečné.
Nepoužívej. Sdílet heslovník bezpečně není až takový problém. Pokud jsi ochotný někomu věřit, zkus lastpass. Pokud ne, používej dropbox (nebo něco podobného, i když dropbox má sdílení technicky dobře udělané), v něm zašifrovaný truecrypt kontejner a teprve v něm databázi hesel třeba KeePassu.

Nebo alespoň používej bezpečnou metodu odvozování hesel - postačí libovolná hešovací funkce. Můžeš pak mít hesla třeba sha1(klíč+doména stránky) a nepotřebuješ si pamatovat nic krom klíče a mít na každém zařízení po ruce sha1 hešovátko.

Jo, a relevantní xkcd :-)
Joker
Profil
Napadá mě jednoduché řešení:
Připsat do registračního mailu informaci, že na webu není heslo v čitelné podobě uložené :-)

Další možná jednoduché řešení by bylo první heslo vygenerovat automaticky a uživatel by si ho pak změnil.

Amunak: Jenže Password entropy is rarely relevant :-)
Str4wberry
Profil
že na webu není heslo v čitelné podobě uložené

Ehm… :–)
Amunak
Profil
Joker:
Amunak: Jenže Password entropy is rarely relevant :-)
Já vím, proto jsem říkal, ať to nedělá. Mnou navrhovaným způsobem získá jak (zbytečnou) entropii, tak unikátní hesla, z nichž je nemožné vydolovat původní klíč, kterým se ty heše generují (vlastně jde o primitivní systém hešování hesla se solí, kde sůl je doména - a platí na to všechny výhody, které to má. A i nevýhody - existují nějaké?)

doyle:
A pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně
Protože v nejhorším případě útočník získá přístup k jednomu bezcennému účtu, případně cennému heslu. A hlavně jakmile se ti někdo dostane do emailu (nemyslím tím teď to, že jen odchytí mail s heslem, což je možná technicky obtížnější, a menší problém pro uživatele), jsi stejně v háji, protože si útočník může nechat vyresetovat libovolná hesla a s informacemi, co v emailu máš, by nejspíš šlo překonat i různé bezpečnostní otázky. Když se dostane do databáze, má „few million emails, default usernames and passwords“.
Chamurappi
Profil
Toto téma už tu mimochodem jednou bylo.


Reaguji na doyle:
pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně?
Protože při ukládání nezahashovaných hesel výrazně převažují rizika nad užitkem.

Pro podobné registrace používám různe varianty jednoho hesla
Řekl bych, že tím přejímáš část odpovědnosti za případné problémy na sebe, jelikož nikdy dopředu nevíš, co se s tvým heslem stane. Provozovatel služby může být ňouma, co ukládá hesla nezahashované do mizerně zabezpečené databáze, nebo ničema, který si hesla tiskne na papírky a vylepuje je v prostředcích hromadné dopravy. Přihlašování probíhá po HTTP protokolu, který také jde odposlouchávat.

není ani ověřeno to, jestli ten mail je odeslán skutečně tomu, kdo se zaregistroval (příchází to v prvním mailu od fóra a registrující uživatel se mohl upsat)
Předání hesla k novému účtu do náhodných rukou není až tak nebezpečné. Jen malý zlomek příjemců by napadlo s tím něco podnikat.


Reaguji na _es:
Na zistenie hesla z mailu sa stačí dostať k nejakým starším kópiám mailov
To je fakt. Ale k únikům archivních mailů dochází zřídka (protože si je lidé syslí na svých harddiscích), živé schránky bývají mnohem lákavější a snazší cíl.


Reaguji na Str4wberryho:
Zvlášť otravná situace potom je v případě, kdy jsem přihlášen na zařízení A, ale chci se přihlásit na zařízení B a heslo si nepamatuji.
Tak to mám s Twitterem. Na třech zařízeních jsem přihlášený a na pěti ne a heslo už nevím, vyřešit to by bylo tak pracné, že se mi do toho vůbec nechce…

Kompromisem mezi bezpečností a přívětivostí by mohlo být zaškrtávátko „Poslat mi heslo na e-mail“, jak navrhoval v tom starém vlákně Alphard. Ať si uživatel sám vybere podle své úrovně paranoiy/sklerózy.
DJ Miky
Profil
Chamurappi:
„není ani ověřeno to, jestli ten mail je odeslán skutečně tomu, kdo se zaregistroval (příchází to v prvním mailu od fóra a registrující uživatel se mohl upsat)“
Předání hesla k novému účtu do náhodných rukou není až tak nebezpečné. Jen malý zlomek příjemců by napadlo s tím něco podnikat.

V tomto případě je asi úplně jedno, zda se v mailu heslo pošle nebo ne. Když dotyčný příjemce bude opravdu chtít s účtem něco provést, může klidně využít funkci obnovení zapomenutého hesla. Je to sice o trochu pracnější, ale záleží jen na jeho motivaci, nic dalšího mu ve zneužití nebrání.
lionel messi
Profil
aDAm:
Já se jen zeptal kde ty hesla v plainu ukladaji a jak můžeš své tvrzení podložit, zda tedy máš přístupy do jejich DB kde vidíš hesla apod.

Nedávno (2—3 mesiace dozadu) som zabudol heslo do jedného môjho staršieho konta na freehostingu moxo.cz a to isté sa mi stalo raz aj na hostingu exohosting.sk. V oboch prípadoch mi pri využití funkcie zabudnuté heslo prišiel e-mail s textom: „Vaše heslo je: XXX“. Z toho súdim, že asi hashované v db nebolo. Navyše, článok na JPW píše:

Správně by se heslo mělo nějak kódovat, ale správci hesla nekódují, protože je pak potřebují pro autentifikaci FTP přenosu, takže se téměř vždy musí uchovávat v otevřené formě.

Moderátor Petr ZZZ: Lionele messi a aDAme, dovolím si připomenout, že dotazy týkající se hostingů nesmí být mimo kategorii Hosting.
lionel messi
Profil
Ešte len dodám, že pred pár minútami som sa zaregistroval na devbooku a čo sa nestalo - heslo prišlo v potvrdzovacom maili. :-)
Juandev
Profil
doyle:
Mě to přijde fajn.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: