» »

Geslo v plaintextu

Geslo v plaintextu

harmony ::

Pozdrav.
Prejle sem na enmu portalu, dal reset gesla kjer sem pricakoval na bom na svoj e-mail naslov dobil kaksen link za reset gesla ali pa novo generirano geslo, katero bi moral ob prvi prijavi spremeniti, dobil pa sem svoje geslo v plaintekstu. Mogoce sem ponovno jaz en n00b, ampak to da so moja gesla nekje na strezniku v plaintekstu je zame nesprejemljivo.

Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov. Mar ni tako, da naj ne bi skrbnik sistema nikoli vedel za nasa gesla?

Rias Gremory ::

http://plaintextoffenders.com/
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

stapler rump ::

harmony je izjavil:

Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov.


How to Safely Store Your Users' Passwords in 2016

DuleKrtola ::

Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.

lukaz ::

DuleKrtola je izjavil:

Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.


Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....

harmony ::

lukaz je izjavil:

DuleKrtola je izjavil:

Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.


Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....

Se strinjam. Ce kdo pridobi dostop do takega serverja, potem najbrz lahko rocno sprozi mehanizem, ki poslje gesla naprej v plaintextu.

Miha 333 ::

Na žalost veliko aplikacij shranjuje gesla v plaintekst obliki. In veliko samooklicanim web developerjem se to ne zdi prav nič sporno.

harmony ::

Miha 333 je izjavil:

Na žalost veliko aplikacij shranjuje gesla v plaintekst obliki. In veliko samooklicanim web developerjem se to ne zdi prav nič sporno.

Dokler se gre za strani tipa forumi in podobno ni toliko tragicno, ko pa gre za neko resno npr. internetno trgovino, potem si clovek zeli, da so zadeve kolikor toliko urejene.

DuleKrtola ::

lukaz je izjavil:

DuleKrtola je izjavil:

Če so ti ga poslali v plain text ne pomeni da je na serverju shranjen kot tak.


Še vedno to pomeni, da ni pravilno shranjen na strežniku. Kakršnakoli reverzibilna metoda ni v redu....



Kako veš? Npr.:
function resetPw() {
string pass=randomPassGen()
sendEmail("Temp pass: "+pass+"Change your password immediately!")
writePassToDB(hash(pass))
}

Miha 333 ::

Če prav razumem, je dobil svoje staro geslo, ne na novo generiranega.

amacar ::

DuleKrtola je izjavil:


Kako veš? Npr.:

 function resetPw() {
 string pass=randomPassGen()
 sendEmail("Temp pass: "+pass+"Change your password immediately!")
 writePassToDB(hash(pass))
 }


Prejel je svoje geslo v plaintextu

harmony je izjavil:

Pozdrav.
sem pricakoval na bom na svoj e-mail naslov dobil kaksen link za reset gesla ali pa novo generirano geslo, katero bi moral ob prvi prijavi spremeniti, dobil pa sem svoje geslo v plaintekstu

GupeM ::

Geslo seveda mora biti shranjeno z nereverzibilno metodo.

Ne vem sicer za kakšen portal se gre, vendar moj primer je res ekstremen. Pozabil sem geslo za dostop do interneta pri Amisu. Ko sem poklical pomoč uporabnikom, mi je operater na drugi strani povedal katero geslo imam!!! Tega je sicer že 5+ let nazaj in upam, da se je od takrat kaj spremenilo.

Načeloma pa tudi, če se gre za nek brezvezen portal s forumom, geslo še vedno ne sme biti shranjeno z reverzibilno metodo ali celo v plaintextu. Ogromno uporabnikov uporablja isto geslo na rezličnih mestih in hacker tako dobi dostop do gesla, ki je lahko uporaben še marsikje. Res je, da je uporaba enega gesla na več mestih neumno početje, pa vendar...

b3D_950 ::

harmony je izjavil:

Pozdrav.
Dejansko me zanima kaksen je praviloma "best practice" pri shranjevanju prijavnih geslov. Mar ni tako, da naj ne bi skrbnik sistema nikoli vedel za nasa gesla?


Za nepomembne stvari si odpreš en mail naslov||fb account in za geslo daš nekaj drugega kot imaš za banko/primaren email/trgovine.
Zdaj ko je mir, jemo samo krompir.

DuleKrtola ::

Prejel je svoje geslo v plaintextu


Ah ja, ta detajl :) se posipam

SeMiNeSanja ::

GupeM je izjavil:

Načeloma pa tudi, če se gre za nek brezvezen portal s forumom, geslo še vedno ne sme biti shranjeno z reverzibilno metodo ali celo v plaintextu. Ogromno uporabnikov uporablja isto geslo na rezličnih mestih in hacker tako dobi dostop do gesla, ki je lahko uporaben še marsikje. Res je, da je uporaba enega gesla na več mestih neumno početje, pa vendar...

Točno tako.

Reverzibilna gesla so danes popolni no-go. Spletišča, katera to uporabljajo pa spadajo na sramotilni steber, da se jih lahko vsi v velikem loku izognemo.

...:TOMI:... ::

Tomi

harmony ::

Miha 333 je izjavil:

Če prav razumem, je dobil svoje staro geslo, ne na novo generiranega.

Pravilno si razumel.

Glede portala, ne bom ga omenjal javno, o tem sem jih tudi obvestil, zato upam, da bo stvar urejena. Zal je pa seveda kredibilnost taksnega portala potem v prihodnosti vprasljiva.

MrStein ::

Že to, da je geslo (novo ali staro) v mailu, je sporno.
(vsak "poštar" ga lahko prebere)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nevarne programerske prakse

Oddelek: Informacijska varnost		305135 (3936) Utk
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost		5919486 (13295) MrStein
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost		8018682 (15360) BaToCarx
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost		3014870 (13769) poweroff
»

Analiza slovenskih gesel

Oddelek: Novice / Zasebnost		3912094 (10032) BlueRunner

Več podobnih tem