Mai multe companii au recunoscut recent că stochează parolele în format text simplu. Este ca și cum ar fi stocarea unei parole în Notepad și salvarea acesteia ca fișier .txt. Parolele ar trebui să fie sărate și hashing pentru securitate, așa că de ce nu se întâmplă asta în 2019?
De ce parolele nu ar trebui să fie stocate în text simplu
Când o companie stochează parole în text simplu, oricine are baza de date de parole – sau orice alt fișier în care sunt stocate parolele – le poate citi. Dacă un hacker obține acces la fișier, poate vedea toate parolele.
Stocarea parolelor în text simplu este o practică teribilă. Companiile ar trebui să sărate și să hacheze parolele, care este un alt mod de a spune „adăugarea de date suplimentare la parolă și apoi amestecarea într-un mod care nu poate fi inversat”. De obicei, asta înseamnă că chiar dacă cineva fură parolele dintr-o bază de date, acestea sunt inutilizabile. Când vă conectați, compania poate verifica dacă parola dvs. se potrivește cu versiunea codificată stocată, dar nu poate „funcționa înapoi” din baza de date și vă poate determina parola.
Deci, de ce companiile stochează parolele în text simplu? Din păcate, uneori companiile nu iau securitatea în serios. Sau aleg să compromită securitatea în numele confortului. În alte cazuri, compania face totul corect atunci când vă stochează parola. Dar s-ar putea adăuga capacități de înregistrare exagerat de zel, care înregistrează parolele în text simplu.
Mai multe companii au stocate incorect parolele
S-ar putea să fii deja afectat de practicile proaste deoarece Robinhood, Google, Facebook, GitHub, Twitter și alții au stocat parole în text simplu.
În cazul Google, compania a aplicat hashing și a sărat în mod adecvat parolele pentru majoritatea utilizatorilor. Dar Parolele contului G Suite Enterprise au fost stocate în text simplu. Compania a spus că aceasta a fost o practică rămasă de când a oferit administratorilor de domenii instrumente pentru a recupera parolele. Dacă Google ar fi stocat corect parolele, acest lucru nu ar fi fost posibil. Doar un proces de resetare a parolei funcționează pentru recuperare atunci când parolele sunt stocate corect.
Când și Facebook admis să stocheze parole în text simplu, nu a dat cauza exactă a problemei. Dar puteți deduce problema dintr-o actualizare ulterioară:
…am descoperit jurnalele suplimentare ale parolelor Instagram stocate într-un format care poate fi citit.
Uneori, o companie va face totul corect atunci când va stoca inițial parola. Și apoi adăugați noi funcții care cauzează probleme. Pe langa Facebook, Robinhood, Github, și Stare de nervozitate parole cu text simplu înregistrate accidental.
Înregistrarea este utilă pentru a găsi probleme în aplicații, hardware și chiar în codul de sistem. Dar dacă o companie nu testează în detaliu această capacitate de înregistrare, poate cauza mai multe probleme decât rezolvă.
În cazul Facebook și Robinhood, când utilizatorii și-au furnizat numele de utilizator și parola pentru a se conecta, funcția de înregistrare putea vedea și înregistra numele de utilizator și parolele pe măsură ce erau introduse. Apoi a stocat acele jurnale în altă parte. Oricine avea acces la acele jurnale avea tot ce le trebuie pentru a prelua un cont.
În rare ocazii, o companie precum T-Mobile Australia poate neglija importanța securității, uneori în numele comodității. Într-o schimbul Twitter a fost șters de atunci, un reprezentant T-Mobile a explicat unui utilizator că compania stochează parolele în text simplu. Stocarea parolelor în acest fel a permis reprezentanților serviciului pentru clienți să vadă primele patru litere ale unei parole pentru confirmare. Când alți utilizatori Twitter au subliniat în mod corespunzător cât de rău ar fi dacă unii