Recent, numeroase companii au admis că păstrează parolele utilizatorilor în format text clar, o practică echivalentă cu salvarea parolelor într-un fișier .txt creat cu Notepad. În condițiile în care parolele ar trebui securizate prin tehnici de „sărare” și „hashing”, este surprinzător că această practică riscantă mai persistă în 2019.
De ce stocarea parolelor în text simplu este inacceptabilă
Păstrarea parolelor în format text clar expune datele utilizatorilor la riscuri majore. Oricine obține acces la baza de date sau la fișierul unde sunt stocate parolele, poate vedea și folosi aceste informații. În cazul unei breșe de securitate, un atacator ar putea obține acces direct la toate parolele.
Această practică este extrem de periculoasă. În loc să stocheze parolele în text simplu, companiile ar trebui să le „săreze” și să le „hasheze”. Aceasta înseamnă adăugarea de date aleatorii la parolă și transformarea acesteia printr-o metodă ireversibilă. Prin această tehnică, chiar dacă un atacator sustrage parolele, acestea devin inutilizabile. La momentul autentificării, sistemul poate verifica dacă parola introdusă corespunde cu versiunea criptată stocată, fără a putea decripta parola originală.
De ce persistă stocarea parolelor în format text simplu? Din păcate, uneori companiile neglijează securitatea datelor, fie prin comoditate, fie prin decizii greșite. În alte cazuri, sistemul inițial de stocare a parolelor poate fi corect, dar modificări ulterioare, cum ar fi implementarea unor loguri excesive, pot duce la expunerea parolelor în format text simplu.
Companii care au gestionat incorect parolele utilizatorilor
Este posibil să fi fost deja afectat de aceste practici, având în vedere că companii precum Robinhood, Google, Facebook, GitHub, Twitter și altele au stocat parolele în text simplu.
În cazul Google, majoritatea parolelor au fost securizate prin hashing și „sărare”, dar parolele conturilor G Suite Enterprise au fost păstrate în format text clar. Compania a explicat că această practică era moștenită de pe vremea când oferea administratorilor instrumente pentru recuperarea parolelor. Dacă parolele ar fi fost stocate corect, recuperarea ar fi fost posibilă doar prin procesul de resetare a parolei.
Facebook a recunoscut stocarea parolelor în text simplu, fără a oferi o cauză clară. O actualizare ulterioară a dezvăluit: „Am descoperit log-uri suplimentare ale parolelor Instagram stocate într-un format lizibil”.
Uneori, sistemul inițial de stocare a parolelor poate fi corect, dar adăugarea de funcții noi poate cauza probleme. Alături de Facebook, companii precum Robinhood, Github și Twitter au înregistrat accidental parole în format text simplu.
Log-urile sunt utile pentru a identifica erori în software, hardware și cod, dar dacă nu sunt testate corespunzător, pot crea mai multe probleme decât rezolvă.
În cazul Facebook și Robinhood, funcția de log-are a înregistrat numele de utilizator și parolele în momentul autentificării, stocându-le ulterior într-o locație separată. Orice persoană cu acces la aceste log-uri ar fi putut prelua controlul asupra conturilor.
Rareori, o companie precum T-Mobile Australia poate neglija securitatea în favoarea comodității. Într-un schimb de mesaje pe Twitter, șters ulterior, un reprezentant T-Mobile a confirmat că stochează parolele în text simplu, permițând astfel agenților de suport să vadă primele patru litere ale parolelor pentru verificare. Alți utilizatori Twitter au subliniat riscurile uriașe ale acestei practici.