Forum » Informacijska varnost » Geslo v plaintextu
Geslo v plaintextu
harmony ::
Pozdrav.
Prejle sem na enmu portalu, dal reset gesla kjer sem pricakoval na bom na svoj e-mail naslov dobil kaksen link za reset gesla ali pa novo generirano geslo, katero bi moral ob prvi prijavi spremeniti, dobil pa sem svoje geslo v plaintekstu. Mogoce sem ponovno jaz en n00b, ampak to da so moja gesla nekje na strezniku v plaintekstu je zame nesprejemljivo.
Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov. Mar ni tako, da naj ne bi skrbnik sistema nikoli vedel za nasa gesla?
Prejle sem na enmu portalu, dal reset gesla kjer sem pricakoval na bom na svoj e-mail naslov dobil kaksen link za reset gesla ali pa novo generirano geslo, katero bi moral ob prvi prijavi spremeniti, dobil pa sem svoje geslo v plaintekstu. Mogoce sem ponovno jaz en n00b, ampak to da so moja gesla nekje na strezniku v plaintekstu je zame nesprejemljivo.
Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov. Mar ni tako, da naj ne bi skrbnik sistema nikoli vedel za nasa gesla?
Rias Gremory ::
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
saj za časa našega življenja ne bo popolnoma propadel.
stapler rump ::
Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov.
How to Safely Store Your Users' Passwords in 2016
lukaz ::
DuleKrtola je izjavil:
Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.
Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....
harmony ::
DuleKrtola je izjavil:
Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.
Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....
Se strinjam. Ce kdo pridobi dostop do takega serverja, potem najbrz lahko rocno sprozi mehanizem, ki poslje gesla naprej v plaintextu.
Miha 333 ::
Na žalost veliko aplikacij shranjuje gesla v plaintekst obliki. In veliko samooklicanim web developerjem se to ne zdi prav nič sporno.
harmony ::
Na žalost veliko aplikacij shranjuje gesla v plaintekst obliki. In veliko samooklicanim web developerjem se to ne zdi prav nič sporno.
Dokler se gre za strani tipa forumi in podobno ni toliko tragicno, ko pa gre za neko resno npr. internetno trgovino, potem si clovek zeli, da so zadeve kolikor toliko urejene.
DuleKrtola ::
DuleKrtola je izjavil:
Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.
Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....
Kako veš? Npr.:
function resetPw() { string pass=randomPassGen() sendEmail("Temp pass: "+pass+"Change your password immediately!") writePassToDB(hash(pass)) }
amacar ::
DuleKrtola je izjavil:
Kako veš? Npr.:
function resetPw() {
string pass=randomPassGen()
sendEmail("Temp pass: "+pass+"Change your password immediately!")
writePassToDB(hash(pass))
}
Prejel je svoje geslo v plaintextu
Pozdrav.
sem pricakoval na bom na svoj e-mail naslov dobil kaksen link za reset gesla ali pa novo generirano geslo, katero bi moral ob prvi prijavi spremeniti, dobil pa sem svoje geslo v plaintekstu
GupeM ::
Geslo seveda mora biti shranjeno z nereverzibilno metodo.
Ne vem sicer za kakšen portal se gre, vendar moj primer je res ekstremen. Pozabil sem geslo za dostop do interneta pri Amisu. Ko sem poklical pomoč uporabnikom, mi je operater na drugi strani povedal katero geslo imam!!! Tega je sicer že 5+ let nazaj in upam, da se je od takrat kaj spremenilo.
Načeloma pa tudi, če se gre za nek brezvezen portal s forumom, geslo še vedno ne sme biti shranjeno z reverzibilno metodo ali celo v plaintextu. Ogromno uporabnikov uporablja isto geslo na rezličnih mestih in hacker tako dobi dostop do gesla, ki je lahko uporaben še marsikje. Res je, da je uporaba enega gesla na več mestih neumno početje, pa vendar...
Ne vem sicer za kakšen portal se gre, vendar moj primer je res ekstremen. Pozabil sem geslo za dostop do interneta pri Amisu. Ko sem poklical pomoč uporabnikom, mi je operater na drugi strani povedal katero geslo imam!!! Tega je sicer že 5+ let nazaj in upam, da se je od takrat kaj spremenilo.
Načeloma pa tudi, če se gre za nek brezvezen portal s forumom, geslo še vedno ne sme biti shranjeno z reverzibilno metodo ali celo v plaintextu. Ogromno uporabnikov uporablja isto geslo na rezličnih mestih in hacker tako dobi dostop do gesla, ki je lahko uporaben še marsikje. Res je, da je uporaba enega gesla na več mestih neumno početje, pa vendar...
b3D_950 ::
Pozdrav.
Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov. Mar ni tako, da naj ne bi skrbnik sistema nikoli vedel za nasa gesla?
Za nepomembne stvari si odpreš en mail naslov||fb account in za geslo daš nekaj drugega kot imaš za banko/primaren email/trgovine.
Zdaj ko je mir, jemo samo krompir.
SeMiNeSanja ::
Načeloma pa tudi, če se gre za nek brezvezen portal s forumom, geslo še vedno ne sme biti shranjeno z reverzibilno metodo ali celo v plaintextu. Ogromno uporabnikov uporablja isto geslo na rezličnih mestih in hacker tako dobi dostop do gesla, ki je lahko uporaben še marsikje. Res je, da je uporaba enega gesla na več mestih neumno početje, pa vendar...
Točno tako.
Reverzibilna gesla so danes popolni no-go. Spletišča, katera to uporabljajo pa spadajo na sramotilni steber, da se jih lahko vsi v velikem loku izognemo.
harmony ::
MrStein ::
Že to, da je geslo (novo ali staro) v mailu, je sporno.
(vsak "poštar" ga lahko prebere)
(vsak "poštar" ga lahko prebere)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nevarne programerske prakseOddelek: Informacijska varnost | 5189 (3990) | Utk |
» | Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )Oddelek: Novice / Zasebnost | 19694 (13503) | MrStein |
» | Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )Oddelek: Novice / Varnost | 18861 (15539) | BaToCarx |
» | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14984 (13883) | poweroff |
» | Analiza slovenskih geselOddelek: Novice / Zasebnost | 12162 (10100) | BlueRunner |