Няколко компании наскоро признаха, че съхраняват пароли във формат на обикновен текст. Това е като да запазите парола в Notepad и да я запишете като .txt файл. Паролите трябва да бъдат осолени и хеширани за сигурност, така че защо това не се случва през 2019 г.?
Защо паролите не трябва да се съхраняват в обикновен текст
Когато една компания съхранява пароли в обикновен текст, всеки с базата данни с пароли или какъвто и да е друг файл, в който се съхраняват паролите, може да ги прочете. Ако хакер получи достъп до файла, той може да види всички пароли.
Съхраняването на пароли в обикновен текст е ужасна практика. Компаниите трябва да осоляват и хешират пароли, което е друг начин да се каже „добавяне на допълнителни данни към паролата и след това кодиране по начин, който не може да бъде обърнат“. Обикновено това означава, че дори ако някой открадне паролите от база данни, те са неизползваеми. Когато влезете, компанията може да провери дали паролата ви съответства на съхранената кодирана версия, но не може да „работи назад“ от базата данни и да определи вашата парола.
И така, защо компаниите съхраняват пароли в откровен текст? За съжаление, понякога компаниите не приемат сериозно сигурността. Или избират да компрометират сигурността в името на удобството. В други случаи компанията прави всичко правилно, когато съхранява вашата парола. Но те могат да добавят прекалено ревностни възможности за регистриране, които записват пароли в обикновен текст.
Няколко компании имат неправилно съхранени пароли
Може вече да сте засегнати от лоши практики, т.к Робин Худ, Google, Facebook, GitHub, Twitter и други съхраняват пароли в обикновен текст.
В случая с Google, компанията адекватно хешира и подправя пароли за повечето потребители. Но Пароли за акаунти в G Suite Enterprise бяха запазени в обикновен текст. Компанията каза, че това е останала практика от времето, когато даде на администраторите на домейни инструменти за възстановяване на пароли. Ако Google беше съхранил правилно паролите, това нямаше да е възможно. Само процес за нулиране на паролата работи за възстановяване, когато паролите са правилно запазени.
Когато Facebook също допуснати до съхраняване на пароли в прав текст не даде точната причина за проблема. Но можете да заключите за проблема от по-късна актуализация:
…открихме допълнителни регистрационни файлове с пароли в Instagram, които се съхраняват в четим формат.
Понякога една компания ще направи всичко правилно, когато първоначално съхранява вашата парола. И след това добавете нови функции, които причиняват проблеми. Освен фейсбук, Робин Худ, Github, и Twitter случайно регистрирани пароли с обикновен текст.
Регистрирането е полезно за намиране на проблеми в приложения, хардуер и дори системен код. Но ако една компания не тества старателно тази способност за регистриране, това може да причини повече проблеми, отколкото да реши.
В случая на Facebook и Robinhood, когато потребителите предоставят своето потребителско име и парола за влизане, функцията за регистриране може да види и записва потребителските имена и пароли, както са били въведени. След това съхранява тези дневници на друго място. Всеки, който имаше достъп до тези регистрационни файлове, имаше всичко необходимо, за да поеме акаунт.
В редки случаи компания като T-Mobile Australia може да пренебрегне важността на сигурността, понякога в името на удобството. В след изтрит обмен в Twitter, представител на T-Mobile обясни на потребител, че компанията съхранява пароли в обикновен текст. Съхраняването на пароли по този начин позволи на представителите за обслужване на клиенти да видят първите четири букви на парола за целите на потвърждението. Когато други потребители на Twitter по подходящ начин посочиха колко лошо би било, ако някои