Nie všetky veľké slovenské servery držia naše heslá v bezpečí!

V dávnejšom článku o nápade (za ktorým si stojím) ako získať heslo k rôznym účtom vrátane emailu (upozorňujem, že je nutná aj spolupráca klienta vo forme toho, že v rôznych typoch registrácii uvádza rovnaké heslo), som bol zahriaknutý skúsenými :) (se vší úctou) programátormi, že moja myšlienka má zádrheľ v tom, že z hashu hesla nie je možné zistiť (v rozumnom čase) reálne heslo. Áno tento argument je silný a správny a nie je k nemu veľmi čo dodať. Ale však ako mnoho zákonov má pre svoju platnosť podmienku splnenia predpokladov, rovnako i tento. Príliš sa totiž spoliehame na poctivosť programátorov. Dokonca i veľkých serverov. Tak ako je to v skutočnosti s bezpečnosťou naších hesiel na veľkých slovenských serveroch? Pozrime sa.

Písmo: A^- | A⁺

Diskusia (27)

Vybral som najnavštevovanejšie servery podľa naj.sk plus pár československých populárnych a nechal si poslať "zabudnuté heslo".

Nešifrujú heslá

Ku podivu zo 17 veľkých serverov, len(?) 3 servery (aukcie.sk , czechcomputer.cz , profesia.sk) mi nadrsno, proti všetkým pravidlám slušného programatorského chovania poslali nešifrované heslo v pôvodnom znení do mojej freemailovej pošty. Paradoxný je pocit, keď vidíte svoje heslo napísané..až s vami trhne, keďže ste boli doteraz zvyknutí na hviezdičky :)

Jednoznačne tak vyplýva, že naše heslá sú v databázach týchto serverov uložené nekryptované a nie sú na týchto serveroch v bezpečí, v pravdepodobne sa posielajú pri autentifikácii na server nekryptované. Prekvapilo ma to u serveru aukcie.sk, kde sa do istej miery operuje s peniazmi a patričnú mieru zabezpečenia by človek očakával. Avšak aj keby nešlo o ultacitlivé dáta, ak ich nemáme zabezpečené na veľkých serveroch, aká je šanca, že budú na menších ako v to niektorí veria.

Neodpovedajú

Ako vcelku mizerný sem musím vsunúť Post.sk , ktorý nemá žiaden odkaz na zabudnuté heslo, a tak ak ho náhodou naozaj zabudnete, musíte pravdepodobne napísať sekretárke Petitpressu , ktorá vám ho asi nadiktuje z vytlačených papierov :) A keby ste si náhodou pamatali adresu hepdesku, tak mne na problém, ktorý riešim a urgoval ho dvakrát, neboli schopní za mesiac odpovedať.

S výhradami

Poďme však ďalej na servery, ktoré síce heslo priamo neposlali, ale i ich systém má isté slabšie stránky.

Servery, ktoré používajú kontrolnú otázku, ale správna odpoveď je overovaná skriptom, pričom som nezaznamenal obmedzenie v počte opakovaní. V praxi to znamená asi toľko, že nadarmo máte kryptografické heslo, keď na odpoveď na otázku "Rodné priezvisko matky" vám stačí skriptík a telefónny zoznam. Tu pomože len dobrá miera paranoje a odpoveď na otázku "obľúbené jedlo" v tvare: !xG8**/Aw . Díky. Tú sú hriešnici: POBOX.sk , ATLAS.sk (oba zastrešuje atlas-as.sk) a orangeportal.sk.

V norme

Ostatné servery sa správajú viacmenej korektne. Centrum.cz i Centrum.sk vám odporúčajú emailom kontaktovať ich helpline, kde overia odpoveď na kontrolnú otázku človekom, čo výrazne znižuje možnosť zneužitia ako v prípade overenia skriptom. Považujem to teda osobne za korektné. Po správnej odpovedi vám pridelia nové heslo (nebolo síce náhodné, ale "12345" ale čo už), ktoré vám pošlú a požiadajú aby ste ho zmenili.

Bez výhrad

Bez výrazných chýb obstáli: azet.sk , zoznam.sk , zive.sk , avizo.sk, lupa.cz (patria im i root.cz, navrcholu.cz, slunecnice.cz a ine), diskusie.sme.sk , naj.sk , t-mobile.sk (T-mobile pošle heslo na telefon, nemal som možnosť vyskúšať či nové, alebo vaše povodné nešifrované).
Ukážkovo

Krásne to má Gmail (kto by sa čudoval :)). Ak máte zadaný sekundárny email, dostanete dlhočizný aktivačný kód na jedno použitie. V prípade použitia kontrolnej otázky vás google kontaktuje výhradne až po 5 dňoch, takže ak by ste to "len skúšali" rýchlo vás to prestane baviť :)

Chlapci od Seznamu sa asi zapotili

Úplne zapeklito ma prekvapil seznam.cz (provozuje i email.cz, post.cz).. vlastne v tejto chvíli som si uvedomil haluznú situáciu, ktorá nastala. Seznam to má tak, že po zadaní emailu, ku ktorému ste zabudli heslo vám skript ponúkne priamo otázku, ktorú ste zadali pri registrácii. V mojom prípade "Číslo vodičského preukazu". Naťukal som odpoveď a presvedčený správnosťou poslal. Odpoveď už kontroluje človek a tak mi na druhý deň s ľútosťou oznámili, že som neodpovedal správne, lebo moja otázka je "Rodné priezvisko matky". Ale ako je to možné?? Tak som chlapcom zo Seznamu odpísal, že to musí byť dáka blbosť, veď skript mi ponúkol otázku "vodičáku", čo bolo aj v tele správy, ktorú mi Seznam poslal. Nechápal som.. až teraz mi zaplo! Medzitým som tu otázku (už neviem prečo) zmenil!! :)), keďže heslo som v skutočnosti poznal a iba sa tváril, že ho nemám. A tak sa ma skript pýtal starú, no programátori ráno kontrolovali novú :) Tak to som chlapcom od Seznamu pekne zamotal hlavu a uvidím, čo vymyslia, ale myslím, že sú vcelku chytrí ;-)

Čo dodať

Čo som bohužiaľ nemohol zisťovať, ako dlho uchovávajú platnosť nového hesla, ktoré vám pošlú. Pretože v prípade, že by popri vašom skutočnom platilo neobmezdene i nové, často napr. 128611, nie je táto skutočnosť až tak povzbudzujúca.
A druhá vec je, že to že vám poslali heslo nové, ešte nezaručuje, že heslá skutočne v databázach šifrujú. Dúfajme však :)
Ale predsa len nikdy nezabúdajme, že nemusím byť jediný, kto može mať prístup k mojín heslám.. a nezabúdajme rozmýšľať..

Google bomba

Na záver si nemožem odpustiť pokus o google bombu.. (pridajte sa!:D) nešifrujú heslá , nešifrujú heslá , nešifrujú heslá .