Кілька компаній нещодавно визнали зберігання паролів у форматі звичайного тексту. Це як зберегти пароль у Блокноті та зберегти його як файл .txt. Для безпеки паролі слід підсолювати та хешувати, то чому цього не відбувається в 2019 році?
Чому паролі не повинні зберігатися у вигляді простого тексту
Коли компанія зберігає паролі у вигляді простого тексту, будь-хто, хто має базу даних паролів — або будь-який інший файл, у якому зберігаються паролі — може прочитати їх. Якщо хакер отримує доступ до файлу, він може побачити всі паролі.
Зберігання паролів у вигляді простого тексту – жахлива практика. Компанії повинні підсилювати та хешувати паролі, що є ще одним способом сказати «додавати додаткові дані до пароля, а потім скремблувати способом, який неможливо змінити». Зазвичай це означає, що навіть якщо хтось викраде паролі з бази даних, вони непридатні для використання. Коли ви входите в систему, компанія може перевірити, чи ваш пароль відповідає збереженій зашифрованій версії, але вони не можуть «вернути назад» з бази даних і визначити ваш пароль.
Тож чому компанії зберігають паролі у відкритому тексті? На жаль, іноді компанії не ставляться до безпеки серйозно. Або вони вирішують поставити під загрозу безпеку в ім’я зручності. В інших випадках компанія все робить правильно при зберіганні вашого пароля. Але вони можуть додати надмірні можливості ведення журналів, які записують паролі у вигляді простого тексту.
Кілька компаній мають неправильно збережені паролі
Ви вже можете постраждати від поганих практик, тому що Робін Гуд, Google, Facebook, GitHub, Twitter та інші зберігали паролі у вигляді простого тексту.
У випадку з Google, компанія адекватно хешувала та солила паролі для більшості користувачів. Але Паролі облікових записів G Suite Enterprise зберігалися у вигляді простого тексту. У компанії заявили, що це залишилася практика, коли вона надала адміністраторам домену інструменти для відновлення паролів. Якби Google належним чином зберіг паролі, це було б неможливо. Тільки процес скидання пароля працює для відновлення, якщо паролі збережені правильно.
Коли Facebook також допущено до зберігання паролів у відкритому тексті він не вказав точної причини проблеми. Але ви можете визначити проблему з пізнішого оновлення:
…ми виявили додаткові журнали паролів Instagram, які зберігаються в доступному для читання форматі.
Іноді компанія все зробить правильно, коли спочатку зберігає ваш пароль. А потім додайте нові функції, які викликають проблеми. Крім Facebook, Робін Гуд, Github, і Twitter випадково ввійшли паролі звичайного тексту.
Журналування корисно для пошуку проблем у програмах, апаратному забезпеченні та навіть системному коді. Але якщо компанія ретельно не перевірить цю можливість ведення журналу, це може спричинити більше проблем, ніж вирішити.
У випадку Facebook і Robinhood, коли користувачі вводили своє ім’я користувача та пароль для входу, функція реєстрації могла бачити і записувати імена користувачів і паролі, як вони були введені. Потім він зберігав ці журнали в іншому місці. Кожен, хто мав доступ до цих журналів, мав усе необхідне, щоб отримати обліковий запис.
У рідкісних випадках така компанія, як T-Mobile Australia, може нехтувати важливістю безпеки, іноді в ім’я зручності. В після видаленого Twitter обміну, представник T-Mobile пояснив користувачеві, що компанія зберігає паролі у вигляді простого тексту. Зберігання паролів таким чином дозволяло представникам служби підтримки клієнтів бачити перші чотири літери пароля для цілей підтвердження. Коли інші користувачі Twitter належним чином вказали, як погано було б, якщо деякі