V-ați făcut cont pe Hotnews.ro? Ia dați pe “recuperare parolă”. Bam, veți primi pe email parola în clar. Ceea ce înseamnă, logic, că stochează parolele în clar.
Ceea ce înseamnă că, dacă îi sparge cineva vreodată, va pune mâna pe parole în clar. Și după aia face un script să încerce toate mailurile cu parola aia și sunt convins că pune mâna pe minim 25% conturi de mail, că nu toți sunt destul de deștepți să aibă parole de aruncat și parole sigure.
Să mergem un pic mai departe cu raționamentul sau să îl lăsăm așa? Oare parolele celor care scriu sunt tot în plaintext? Oare sunt mai complicate de user gigel parolă gigel?
GDPR?
GDPR nu te obligă explicit să stochezi parole criptate.
ci doar bunul simț
Mhm. Scuzati-ma pe mine:
“ The regional data watchdog deemed that plain text storage of passwords breached legislation that implements the GDPR in Germany (specifically article 32 of the DS-SGVO), and imposed its first penalty under the regulation.”
https://www.theregister.co.uk/2018/11/23/knuddels_fined_for_plain_text_passwords/
Altul care nu a înțeles nimic din GDPR.
Well, ba da, GDPR te obligă la privacy si security by design. Ceea ce nu înseamnă si parole salvate in clar în db. My2c
merge https://i.imgur.com/9oAdNcK.png
le-ai facut-o! acum sigur inchid pravalia!
De ce mi-as face cont pe hotnews?
Ca să îți recuperezi parola în clar
Nu inseamna ca stochează parolele in clar. Poate le stochează criptat. Ce vrei tu sa spui este ca stochează parole in loc de hash-uri. Sau ca folosesc o criptare reversibila.
Aia am zis și eu dar a intrat în moderare.
Dacă eu fur de la Hotnews fișierul cu parolele, de ce nu crezi că aș putea lua și fișierul cu metoda de decriptare?
Chiar as fi curios daca și-au făcut un algoritm propriu pentru criptat parola sau folosesc password_hash.
@Dorin Pai daca folosesc passaword_hash nu știu dacă poți face ceva cu hash-urile din baza de date, pentru a afla parolele. Adică eu inca nu am auzit sa fi reușit cineva sa facă reverse la password_hash. Ce-i drept nici nu am căutat prea mult.
@Eu păi și ei cum de ți le trimit în clar ?!?
Good question.
@Eu, lol, stai jos
@dorin: nimic nu te opreste. Eu doar comentam ca titlul e fake news. Sau macar asa imi place sa cred.
Nici hash-ul nu e infailibil daca ai acces la baza de date si algoritm.
Nu cred că au investit ei bani in dezvoltarea unui algoritm pentru criptarea parolelor, iar cum la password_hash nu se poate reverse din ce știu eu, înseamnă că au stocat parolele in clar.
cript .. encodate cu base64 să fie bine pentru toți
@Rumbu:
Daca am un seif in care tin banii, iar combinatia seifului o scriu pe un post-it si o lipesc pe usa seifului, mai poti sa zici ca banii sunt tinuti „in siguranta” in seif, și că nu se pot fura?
Also, you are retarded.
Explica-mi te rog, asa ca pentru retardati, ce ma opreste având acces la baza de date sa imi pun propriul hash la contul de admin?
@Rumbu. Aşa, şi? Eventual ai acces la partea de user account (dacă ai şi replica aplicației) dar tot nu afli parola
@Rumbu despre ce fel de hash vorbesti? Daca, de exemplu, te referi la clasicul md5 nu exista cheie de decriptare. Exista doar brute force.
@paul, nu contează. El vrea să spună că suprascrie câmpurile cu un hash generat de el cu parola lui.
Am inteles. Dar ideea din articol este ca o adresa de mail este atasata de o parola. Cine are acces la cele doua informatii le poate folosi pentru a capata controlul asupra altor conturi, ale altor servicii, la care a fost folosita aceeasi combinatie mail-pass.
Ce vrea sa zica Rumbu (cred) e ca daca ai acces la baza de date, poti lua hashul unui user, sa-l asociezi contului tau si sa dai forgot password. Mailul lui deja il ai, acum ai si parola in clar.
@Rumbu: Ai dreptate că e posibil să le cripteze, dar faptul că pot recupera în forma originală parola indică un nivel de securitate foarte slab.
Odată ce cineva ar avea acces la lista de parole într-un format reversibil e doar o chestiune de timp până la decriptare
@dezGusty: cine plm sta sa decripteze parole de pe hotnews? Chestia asta necesita putere de calcul serioasa. Nimeni nu investeste in asta pt fucking hotnews…
Pentru un site serios cu miliarde de useri, da. Sau pt site care tine CC info in clar. Dar pt hotnews cu 50-100k useri?
Epiesa.ro stocheaza in clar parolele
Nu stochează parolele in clar.
Sunt criptate in baza de date, doar că ei ți-o decriptează și apoi ți-o trimit ție.
adica fix pix. mai bine le stocau plain text ca era tot aia.
Mama merita premiul Nobel! =))
E mai simplu asa, decat sa-ti vina link sa o schimbi, sa te puna in dificultate sa te gandesti la o alta parola… e greu boss!
un moment perfect să ne reamintim de un clasic: http://bash.org/?244321
Nu ştiu de ce am impresia că foarte mulţi care comeantează la articolul ăsta sunt specialişti ştiu foarte bine cum se fură o parolă dar nu au nici cea mai vagă idee de ce şi cum le sunt furate gagicile prin cluburi sau portofelele pe stradă.
PS, relax, era o glumă
Shoric, suntem pe blogul lui Vali, aici gasesti specialisti la orice ora pentru orice problema.
Hai sa le luam pe rand:
1) Daca parola ajunge pe e-mail in clar, atunci cu siguranță e in clar stocata si in baza de date – 99,9%.
2) Chiar daca nu ar fi stocata in clar – acel 0,01% – atunci oricum nu respecta nici un best practice de securitate care spune sa il indrumi pe utilizator catre o pagina de resetare parola.
3) Functia hash este ireversibila prin definitie. Nu se poate converti hashul obtinut prin aplicarea functiei hash inapoi in textul initial. Exista bineinteles metode de a afla parola din spatele acelui hash, dar, in functie de complexitate, necesita timp si putere de procesare. Exista, de asemenea, si controale suplimentare care pot fi implementate pentru a mitiga acele metodw – cautati hash + salting, e mult de scris.
4) Functia hash nu eate acelasi lucru cu criptarea/decriptarea.Criptarea/decriptarea presupun procese reversibile. Bineinteles ca ai putea sa le protejezi si asa, insa nu reprezinta o practica obisnuita din cauza ca e mai complicat de implementat, presupune procesare mai mare (impact pe resurse si timp de raspuns), si, cum spunea si alt comentator, induce riscuri suplimentare – de exemplu, daca nu protejezi corespunzator cheia de criptare (ceea ce se traduce din nou in complexitate).
In loc sa va dati cu parerea fara sa va pricepeti prea mult (unii dintre voi), daca vreti sa ii fortati sa faca ceva, mergeti pe un proces de responsible disclosure, facand o sesizare catre CERT RO. Ar trebui sa gasiti la ei pe site instructiuni, daca nu, un mail face minuni.
@Znuff, doar ca de obicei situațiile se exclud una pe alta: cine te pune să-ți faci parolă nouă o face pentru că şi el ridică din umeri când îi întrebi. Altfel, cine stochează în clar nu se va obosi să mai implementeze un proces separat, o trimite în email, ca deştepții ăştia…
@Znuff, păi asta am vrut să zic şi eu, sunt două lumi care se exclud, dar probabil a fost prea alambicată exprimarea
1) Cu mențiune că asta e o siguranță doar în cazul în care parola e trimisă în plain-text în timpul procesului de RECUPERARE PAROLĂ.
Excepțiile sunt când:
– Ți se generează o parolă nouă, și-ți este trimisă pe e-mail
– În timpul procesului de ÎNREGISTRARE, când ți se trimit detaliile – funcțiile folosite la acel proces au acces la parola în „plain-text”, dar asta nu înseamnă că o stochează plain-text.
Evident, ambele excepții nu sunt „best-practices”, dar din nefericire sunt foarte comune.
Din 2009 cand majoritatea serviciilor mari au renuntat sa mai trimita parola in plain text si pana in 2019 nu inseamna “relativ nou”. Sunt 10 fucking years. Hotnews e un site care a ramas pe o structura antica. Se vede dupa cum au ramas pe aceeasi structura invechita de mobile & tablet version ca nu au mai schimbat nimic la site de un deceniu.
Greșești.
Procedurile de recuperare gen:
– click pe link de verificare
– introdu parola noua
sunt relativ „noi” in tech, de când ne-am deșteptat puțin cu securitatea.
Procedura cu:
– click pe link de verificare
– „salut, ti-am trimis parola noua pe mail”
au fost standard ani de zile, si inca se vor mai gasi prin diferite aplicatii invechite, sau cu developers care n-au nici o consideranta pentru utilizatori.
@znuff si totusi cand propui asa ceva esti lovit de „e prea complicat pt useri”
Ce mi-a placut mie sa fac (probabil o sa iau minusuuri), a fost sa fac hash prin cele cunoscute, si dupa care sa fac crypt pe o functie personala cu salt unic pe fiecare user. Da stiu e degeaba pt cine are acces total la server, dar daca s-ar intampla doar sql-injection hash-ul ala chiar e degeaba (nu toate info sunt in bd).
Dar cum am zis si mai sus f multi clienti care cand le-am spus de recuperare parola….mail, click, asteapta mail de confirmare, click din nou sau stiu eu alte procese…erau toti: „De ce nu le dam parola imediat?” Si atunci le generez parola noua de X caractere trimisa pe e-mail…..ca asa vor directorii!
Sure, dar uneori trebuie sa forțezi mâna utilizatorilor pentru binele lor.
Înțeleg problema, evident, dar mi se pare mai stupid pentru user să dea click pe link, să confirme, eventual, și dup-aia să aștepte mailul cu noua parolă, după care să meargă iar pe site să se autentifice cu parola nouă.
Celălalt approach e – primești link, schimbi parola, te autentifică direct.
Pana una alta, ce inseamna „a mitiga”? („controale suplimentare care pot fi implementate pentru a mitiga acele metodw „)
In rest numai experti aici. Oricum sa iti pui aceeasi parola la hotnews cu cea de la email cred ca e de geniu….
Oricum subiectul are succes vad. Felicitari !
+ Le-ai crescut putin traficul celor de la hotnews.
Trebuie sa suferi de retard mintal sa folosesti peste tot o singura parola de baza!
Sau cum ziceau cei care sufera de retard mintal: trebuie sa ai autism sa folosesti parola de baza pe toate site-urile!
Depinde de tine cat de jos poti sa fii!
Ia întreab¨-o pe maică-ta ce parolă are la mail și ce parolă are la Facebook.
discuția de mai sus ilustrează foarte bine starea jalnică a securității cibernetice românești. oameni care se contrează aiurea, doar ca să nu fie de acord cu declarația inițială.
Hash, cash, pash, lash, nu stiu, dar nu a observat nimeni ca parola e sensibila?
Orice site, platforma bla bla ce o fi daca iti trimite parola in clar si nu un link cu hash/token etc. pt recuperare parola plus expirare link e retardness. Punct.
Vezi ca printre primele articole e o reclama PNL cu Turcan in rolul principal. Am scris in comentarii linkul catre clipul YT in care Turcan o lauda si o compara pe Udrea cu Kill Bill. De atunci nu mai poti comenta la acest articol
Sunt 2 posibilitati.
1) Au programatori prosti / inconstienti.
2) Folosesc un algoritm propriu de criptare (reversibil), parolele sunt stocate codat in baza de date insa la recuperare parola se aplica algoritmul de decriptare si se trimite parola originala. Dar nu vad sensul pentru care sa se complice cu astfel de metoda, exista metode securizate de criptare ireversibile.
In tara in care site-ul ANPC este HTTP (inclusiv cu formularul de trimitere reclamatie), imbecilismul si incompetenta nu ma mai surprind. In rest am vazut aici multi pareristo-habarnisti care – culmea – vorbesc cu o convingere socanta despre lucruri total straine lor, o extensie a stilului conversational „fotbal si politica” la care, in crashma, se pricep toti. Dupa aia voteaza…