Heslo v mailu?

doyle:
„Myslite, ze posilat heslo v hole podobe v e-mailu potvrzujicim registraci na foru je dobry napad ?“
Ne, nicméně tady jsou větší bezpečnostní problémy.

Reaguji na doyle:
Proč myslíš, že je to problém? Můžeš si ten mail vymazat, pokud ho považuješ za hrozbu.
Pokud se ti někdo dostane do schránky, tak stejně může nad tvým účtem získat kontrolu tím, že si nechá vygenerovat nové heslo.

Když jsem ještě nepoužíval žádného správce hesel, tak mě služby, které heslo neposílaly do mailu, štvaly, protože jsem si místo jednoduchého prohledání Inboxu musel heslo resetovat.

Co vám tak vadí na tom, že heslo přijde e-mailem?

Str4wberry:
„Co vám tak vadí na tom, že heslo přijde e-mailem?“
doyle možno používa jedno heslo variácie jedného hesla pre rôzne služby, čo mi príde ako smutná irónia…

Str4wberry:
„Co vám tak vadí na tom, že heslo přijde e-mailem?“
Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.

Jan Tvrdík:
„Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.“
Čo porušuje napr. väčšina hostingov…

Reakce na Jana Tvrdíka:
„Heslo by nikde, vůbec nikde, nemělo být uloženo v plaintextu.“

A jak heslo z toho e-mailu mám zjistit, když v plaintextu nebude?

lionel messi:
příklad kdo to porušuje?

doyle:
a co takhle když je první heslo generována systémem, jak je pak chceš uživateli sdělit? a přece ti nikdo nebrání v tom aby sis heslo změnil, takže pokud se ti nelíbí poslání hesla mailem, tak zadej 123, aktivuj si účet heslo změň na to co uznáš za vhodné.

Když už je potřeba e-mail s heslem zachovat, tak mi přijde jako dobrý zvyk uživatele na registrační stránce upozornit, že heslo přijde e-mailem v čisté podobě. Pak s tím člověk může počítat a zadat nějaké jednoduché dočasné heslo, které si hned po registraci změní.


Str4wberry:
„A jak heslo z toho e-mailu mám zjistit, když v plaintextu nebude?“

Třeba si pamatovat, co jsem zadal před třemi minutami do kolonky „heslo“ :-).

aDAm:
Trafená hus zagágala? :-) Trebárs moje slovenské hostingy, s kt. mám skúsenosť, konkretizovať je irelevantné.

Chamurappi:
„Pokud se ti někdo dostane do schránky, tak stejně může nad tvým účtem získat kontrolu tím, že si nechá vygenerovat nové heslo.“
To nie je to isté. Na zistenie hesla z mailu sa stačí dostať k nejakým starším kópiám mailov, na vygenerovanie nového hesla treba získať aktívny prístup k mailovej schránke.

Reakce na DJ Mikyho:
„Třeba si pamatovat, co jsem zadal před třemi minutami do kolonky ‚heslo‘ :-).“

Registrační heslo z e-mailu potřebuji většinou až za několik měsíců až let po registraci, kdy ho prohlížeč zapomene a já už si ho také nepamatuji.

doyle:
„A pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně ? Na čemž se podle reakcí na fóru shodnem, že není dobrej nápad.“
Heslo v DB zahashované je, ale po registraci je ještě k dispozici hodnota zadaná přímo v políčku.
Bohužel diskuse vznikla evolucí staré verze miniBB, která obsahovala mraky bezpečnostních chyb.

Takže asi nejlépe to shrnul Jan Tvrdík v [#2]

Str4wberry:
„já už si ho také nepamatuji“
Proto existuje funkce zapomenuté heslo =) Snižovat bezpečnost všem lidem kvůli špatné paměti některých lidí (já sem patřím pochopitelně taky) je hloupý nápad.

Reakce na Jana Tvrdíka:
„Proto existuje funkce zapomenuté heslo =)“
Ano, takže budu muset jít do e-mailu, vyhledat si adresu e-mailu použitého pro zmíněnou službu (potud stejné), vyplnit formulář „Zapomenuté heslo“, počkat na e-mail. Zvlášť otravná situace potom je v případě, kdy jsem přihlášen na zařízení A, ale chci se přihlásit na zařízení B a heslo si nepamatuji. Když by mi pohodlně přišlo do e-mailu, tak si ho najdu a za pár sekund funguji. Takhle musím heslo resetovat a vymyslet nové, což mě odhlásí v zařízení A, takže až se na něj vrátím, budu muset resetovat heslo znovu, protože už ho třeba zase nebudu vědět. A tak dále…

Podle mě je dobré si uvědomit, že DJPW není internetové bankovnictví nebo podobná aplikace s vysokým nárokem na zabezpečení*. Tedy zvýšit komfort na úkor bezpečnosti mi přijde v pohodě a žádoucí.

*) Kromě moderátorů má heslo v podstatě smysl jen pro možnost upravovat stránku profilu.

lionel messi:
nevím jestli seš husa. Já se jen zeptal kde ty hesla v plainu ukladaji a jak můžeš své tvrzení podložit, zda tedy máš přístupy do jejich DB kde vidíš hesla apod.

Je pravda, že když aplikace sama vygeneruje heslo, logicky ho musí poslat na mail. A asi by bylo lepší, kdyby to nedělala, pokud si heslo volí sám uživatel. Ale zase to aspoň (snad) lidi upozorní na to, že by měli mít různá hesla na různých místech.

doyle:
„Pro podobné registrace používám různe varianty jednoho hesla, vím, že to není dobrej nápad, ale nejsem stroj a sdílet heslovník mezi více počitači taky není jednoduché udělat tak, aby to bylo bezpečné.“
Nepoužívej. Sdílet heslovník bezpečně není až takový problém. Pokud jsi ochotný někomu věřit, zkus lastpass. Pokud ne, používej dropbox (nebo něco podobného, i když dropbox má sdílení technicky dobře udělané), v něm zašifrovaný truecrypt kontejner a teprve v něm databázi hesel třeba KeePassu.

Nebo alespoň používej bezpečnou metodu odvozování hesel - postačí libovolná hešovací funkce. Můžeš pak mít hesla třeba sha1(klíč+doména stránky) a nepotřebuješ si pamatovat nic krom klíče a mít na každém zařízení po ruce sha1 hešovátko.

Jo, a relevantní xkcd :-)

Napadá mě jednoduché řešení:
Připsat do registračního mailu informaci, že na webu není heslo v čitelné podobě uložené :-)

Další možná jednoduché řešení by bylo první heslo vygenerovat automaticky a uživatel by si ho pak změnil.

Amunak: Jenže Password entropy is rarely relevant :-)

„že na webu není heslo v čitelné podobě uložené“

Ehm… :–)

Joker:
„Amunak: Jenže Password entropy is rarely relevant :-)“
Já vím, proto jsem říkal, ať to nedělá. Mnou navrhovaným způsobem získá jak (zbytečnou) entropii, tak unikátní hesla, z nichž je nemožné vydolovat původní klíč, kterým se ty heše generují (vlastně jde o primitivní systém hešování hesla se solí, kde sůl je doména - a platí na to všechny výhody, které to má. A i nevýhody - existují nějaké?)

doyle:
„A pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně“
Protože v nejhorším případě útočník získá přístup k jednomu bezcennému účtu, případně cennému heslu. A hlavně jakmile se ti někdo dostane do emailu (nemyslím tím teď to, že jen odchytí mail s heslem, což je možná technicky obtížnější, a menší problém pro uživatele), jsi stejně v háji, protože si útočník může nechat vyresetovat libovolná hesla a s informacemi, co v emailu máš, by nejspíš šlo překonat i různé bezpečnostní otázky. Když se dostane do databáze, má „few million emails, default usernames and passwords“.

Toto téma už tu mimochodem jednou bylo.


Reaguji na doyle:
„pokud odesílám heslo nezašifrovaně/nezahashovaně, proč bych ho měl ukládal do DB zahashovaně?“
Protože při ukládání nezahashovaných hesel výrazně převažují rizika nad užitkem.

„Pro podobné registrace používám různe varianty jednoho hesla“
Řekl bych, že tím přejímáš část odpovědnosti za případné problémy na sebe, jelikož nikdy dopředu nevíš, co se s tvým heslem stane. Provozovatel služby může být ňouma, co ukládá hesla nezahashované do mizerně zabezpečené databáze, nebo ničema, který si hesla tiskne na papírky a vylepuje je v prostředcích hromadné dopravy. Přihlašování probíhá po HTTP protokolu, který také jde odposlouchávat.

„není ani ověřeno to, jestli ten mail je odeslán skutečně tomu, kdo se zaregistroval (příchází to v prvním mailu od fóra a registrující uživatel se mohl upsat)“
Předání hesla k novému účtu do náhodných rukou není až tak nebezpečné. Jen malý zlomek příjemců by napadlo s tím něco podnikat.


Reaguji na _es:
„Na zistenie hesla z mailu sa stačí dostať k nejakým starším kópiám mailov“
To je fakt. Ale k únikům archivních mailů dochází zřídka (protože si je lidé syslí na svých harddiscích), živé schránky bývají mnohem lákavější a snazší cíl.


Reaguji na Str4wberryho:
„Zvlášť otravná situace potom je v případě, kdy jsem přihlášen na zařízení A, ale chci se přihlásit na zařízení B a heslo si nepamatuji.“
Tak to mám s Twitterem. Na třech zařízeních jsem přihlášený a na pěti ne a heslo už nevím, vyřešit to by bylo tak pracné, že se mi do toho vůbec nechce…

Kompromisem mezi bezpečností a přívětivostí by mohlo být zaškrtávátko „Poslat mi heslo na e-mail“, jak navrhoval v tom starém vlákně Alphard. Ať si uživatel sám vybere podle své úrovně paranoiy/sklerózy.

Chamurappi:
> „není ani ověřeno to, jestli ten mail je odeslán skutečně tomu, kdo se zaregistroval (příchází to v prvním mailu od fóra a registrující uživatel se mohl upsat)“
> Předání hesla k novému účtu do náhodných rukou není až tak nebezpečné. Jen malý zlomek příjemců by napadlo s tím něco podnikat.

V tomto případě je asi úplně jedno, zda se v mailu heslo pošle nebo ne. Když dotyčný příjemce bude opravdu chtít s účtem něco provést, může klidně využít funkci obnovení zapomenutého hesla. Je to sice o trochu pracnější, ale záleží jen na jeho motivaci, nic dalšího mu ve zneužití nebrání.

aDAm:
„Já se jen zeptal kde ty hesla v plainu ukladaji a jak můžeš své tvrzení podložit, zda tedy máš přístupy do jejich DB kde vidíš hesla apod.“

Nedávno (2—3 mesiace dozadu) som zabudol heslo do jedného môjho staršieho konta na freehostingu moxo.cz a to isté sa mi stalo raz aj na hostingu exohosting.sk. V oboch prípadoch mi pri využití funkcie zabudnuté heslo prišiel e-mail s textom: „Vaše heslo je: XXX“. Z toho súdim, že asi hashované v db nebolo. Navyše, článok na JPW píše:

„Správně by se heslo mělo nějak kódovat, ale správci hesla nekódují, protože je pak potřebují pro autentifikaci FTP přenosu, takže se téměř vždy musí uchovávat v otevřené formě.

Ešte len dodám, že pred pár minútami som sa zaregistroval na devbooku a čo sa nestalo - heslo prišlo v potvrdzovacom maili. :-)

doyle:
Mě to přijde fajn.