CNBC postavil orodje za preverjanje moči gesel, izvedba katastrofalna
Matej Huš
30. mar 2016 ob 20:56:45
CNBC se je na lastni koži naučil, da je pot v pekel tlakovana z dobrimi nameni, uporabniki pa, da so za svoja gesla odgovorni predvsem sami. V torek so namreč na CNBC objavili članek, ki je spodbujalo uporabo varnih gesel. Eksperiment je šel strahovito narobe.
Dobra gesla so takšna, ki si jih je enostavno zapomniti, težko uganiti, bodisi s surovo silo (torej so dovolj dolga) bodisi s poznavanjem vseh podrobnosti o uporabniki (torej s socialnim inženiringom). CNBC-jem članek se je osredotočal na prvi aspekt in je v ilustracijo uporabnikom omogočal vpis lastnega gesla, algoritem pa je potem izračunal, kako odporno je geslo na napad s surovo silo. Zraven je izrecno pisalo, da CNBC gesel nikjer ne shranjuje. Le kaj bi lahko šlo narobe, če na neko tretjo internetno stran (pa četudi verodostojnega izdajatelja) vpisujemo gesla? V resnici so gesla najverjetneje shranjevali v dokument na Google Sheets in jih delili vse naokoli.
Za začetek stran ni uporabljala šifrirane povezave SSL/TLS, kar pomeni, da smo gesla v resnici nezaščitena posredovali po internetu. Analiza pa je pokazala, da jih je CNBC še radodarno delil z oglaševalci in drugimi partnerji, denimo z Googlovim DoubleClick. Spletna stran je kmalu po odkritju fiaska izginila, obstaja pa še arhivska verzija. Tolaži nas dejstvo, da so ljudje lahko vpisali le geslo, ne pa tudi uporabniškega imena ali elektronskega naslova, a vseeno je to bolj jalova tolažba. Zato še enkrat - ne vpisujte gesel nikamor.