Slo-Tech
Prijavi se z GoogleID

» »

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

activepolitic.com - O tegonah uporabe gesel smo že precej pisali. Uporabniki so pač leni in izbirajo zelo slaba gesla, ki jih potem še reciklirajo na celi vrsti spletnih storitev, tako da je z padcem ene pornografske strani oz. poslovnega socialnega omrežja velikokrat ogrožena kar celotna uporabnikova spletna identiteta. Napadalcem ob tem pomaga tudi malomarnost ponudnikov storitev, ki gesla pogosto hranijo kar v cleartext obliki ali pa uporabijo neprimerno zgoščevalno funkcijo (glej linkedin).

Še en problem je, da se uporabnikom resnično ne ljubi spreminjati gesel. Nizozemski ponudnik dostopa do interneta KPN je tako pred kratkim ugotovil, da je kar 140.000 njihovih naročnikov po prijavi na DSL internet ohranilo privzeto geslo, in sicer "welkom01". To geslo je varovalo servisne strani, preko katerih so bili potem dostopni tudi kontaktni in plačilni podatki naročnika, vključno s številko bančnega računa in kreditnih kartic. Uporabniška imena so bila še bolj predvidljiva - kombinacije poštne številke in uličnega naslova.

KPN je vsem prizadetim uporabnikom že zamenjal geslo (tokrat vsakomur različno) in njih o spremembi tudi obvestil, ostale pa pozval h pazljivi izbiri in redni menjavi svojega gesla. K sreči za zdaj kaže, da napake ni nikomur uspelo izkoristi za kakšne zle namene.

Vsekakor dober opomin za zamenjavo tistih najpomembnejših gesel, ponudnikom storitev pa, naj ne ponujajo izdelkov z izklopljenimi gesli in da naj uporabnikom ob podpisu pogodbe le zatežijo za unikatno geslo, namesto da se zadovoljijo s privzetim.

18 komentarjev

SkyX ::

to je problem ponudnika, ker je vsem dal enako geslo in bi ze od samega zacetka moral vsakemu dati razlicno geslo
http://urban.spletno-mesto.com

Zgodovina sprememb…

  • spremenilo: SkyX ()

[D]emon ::

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

BlueRunner ::

[D]emon je izjavil:

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...

Si preprican?

Relanium ::

Sj to je pač velik problem.

Moji materi se še enga gesla za g-mail ne da zapomnit, bi najraj avto prijavo imela skoz vklopljeno povsod,
kako hudiča si pa naj jaz pol zapomnim 10+ gesel, vsa vsaj 8-mestna z velikimi in malimi znaki ter številkami.
Poleg tega pa jih naj še menjujem?

Sam se na nek način rešil problem takole:
1. prioriteta - bančništvo in paypal
2. prioriteta - osebne zadeve
3. prioriteta - gmail in podobno
4. so pa vsi forumi
5. za spam pa enako kot username

Torej imam 4-5 recikliranih gesel, ni optimalno je pa dosti boljše od večine IMO
Pa še to si je zajebano zapomnit, če jih ne vadiš vsak dan.

[D]emon ::

BlueRunner je izjavil:

[D]emon je izjavil:

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...

Si preprican?


Smo s kolegi, ki smo bili na SiLOL ADSL primerjali privzeta gesla, ki so nam bila dodeljena. (Nismo pac neumni, to je bila prva sprememba, ki smo jo izvedli. :D) In glej ga, smenta! Vsak od nas je imel drugacno geslo!
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

techfreak :) ::

BlueRunner je izjavil:

[D]emon je izjavil:

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...

Si preprican?

Ko so pri nas priklapljali ADSL so nas napotili na servisno stran kjer smo si mogli izbrati uporabniško ime, email naslov ter geslo.

MrStein ::

Relanium je izjavil:

Sj to je pač velik problem.

Moji materi se še enga gesla za g-mail ne da zapomnit, bi najraj avto prijavo imela skoz vklopljeno povsod,
kako hudiča si pa naj jaz pol zapomnim 10+ gesel, vsa vsaj 8-mestna z velikimi in malimi znaki ter številkami.
Poleg tega pa jih naj še menjujem?

Samo v službi imam vsaj 10 gesel. (netrivialnih)

To je ves sistem narobe. Ne moreš od laika pričakovati, da zna na pamet vsebino vseh uradnih listov za 20 let nazaj. Pardon, mali milijon username-ov, pripadajočih gesel, pa še email naslovov, ki so bili uporabljeni za registracijo.

Kudos ST, da podpira OpenID (a je dejansko omejen na 3 providerje?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Mipe ::

Pol pa te zbije tricikel in v službi kar naenkrat nimajo več dostopa do vseh tistih vitalnih funkcij...

MrStein ::

? Gre za moja gesla, ne njihova.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gandalfar ::

in MrStein: kaj bos naredil, ko bos zgubil dostop do svojega openid providerja?

Isotropic ::

SkyX je izjavil:

to je problem ponudnika, ker je vsem dal enako geslo in bi ze od samega zacetka moral vsakemu dati razlicno geslo

jp, nam je tako geslo kot up. ime nastavil uni, ki je prisel montirat. oboje je bilo random nekaj iz okolice.

MrStein ::

Gandalfar je izjavil:

in MrStein: kaj bos naredil, ko bos zgubil dostop do svojega openid providerja?

Nič, ker ga praktično nikjer ne uporabljam. :P

(se nisem poglabljal, bom enkrat pogledal, kaki scenariji so možni)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Tear_DR0P ::

[D]emon je izjavil:

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...

a ni pri siolu geslo enako osebnemu imenu plus letnici ustvaritve računa - al je celo kar "osebno ime+2000"
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

BlueRunner ::

Tear_DR0P je izjavil:

[D]emon je izjavil:

E, me je ze SkyX prehitel s komentarjem ... ce lahko pri nas SiLOL da vsakemu uporabniku drugo zacetno geslo ...

a ni pri siolu geslo enako osebnemu imenu plus letnici ustvaritve računa - al je celo kar "osebno ime+2000"

Ce je verjeti ostalim, potem je Telekom Slovenije po nekaj letih uspel monterjem, ki so izvajali "namestitve" vbiti v glavo, da se to ne sme delati tako.

Srcno upam, da je.

MrStein ::

MrStein je izjavil:

Gandalfar je izjavil:

in MrStein: kaj bos naredil, ko bos zgubil dostop do svojega openid providerja?

Nič, ker ga praktično nikjer ne uporabljam. :P

(se nisem poglabljal, bom enkrat pogledal, kaki scenariji so možni)

Po (kratkem) razmisleku: isto, kot če bi imel navaden login? (kliknil na "Pozabil geslo" pri OpenID providerju)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Verjetno je mislil, ko bo tvoj OpenID provider propadel. Sicer je tudi možnost, da si sam svoj provider.

MrStein ::

OK, kaj se zgodi na ST, če mi OpenID provider (gogle) propade?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gandalfar ::

Odvisno - recimo da je s-t zaupal e-mailu, ki ga je podal google, potem nic, resetiras geslo in gres dalje.

Ce bi pa recimo ST podpiral OpenID providerja, ki ne posilja e-mail naslova zraven ... potem mas pa problem. Upas da ti info@ support verjamem, da si to ti ;)

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gmail

Oddelek: Pomoč in nasveti
474158 (2369) tattoo
»

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

Oddelek: Novice / Varnost
184663 (3953) Gandalfar
»

Shranjevanje gesel

Oddelek: Informacijska varnost
172091 (1551) BlueRunner
»

java in mysql -> preveri geslo

Oddelek: Programiranje
6705 (555) Goldee
»

hotmail password crack (not a joke)

Oddelek: Informacijska varnost
223594 (2253) bluefish

Več podobnih tem