RU-CENTER хранит пароли в открытом/декодируемом виде?

    Привет.

    Сегодня мне свалилось оповещение о том, что один из доменов в зоне .ru, зарегистрированных мной проголодался, и просит продолжения делегирования.

    Как обычно, я совершенно не помнила, какой пароль у данного контракта (бэкапы KeePass рулят, но ой), поскольку домен не такой уж и важный, поэтому запросила восстановление пароля.

    Из nic.ru свалилось следующее:


    Здравствуйте,

    Sat Jan 09 15:08:50 2010
    в RU-CENTER поступил запрос с IP-адреса 69.172.133.хх
    на предоставление административного пароля по договору/анкете 639ххх/NIC-D.

    Пароль: f33a1c7dd1

    ---
    Административно-техническая группа RU-CENTER
    e-mail: ru-ncc@nic.ru
    phones: +7 495 737-0601
    fax: +7 495 737-0602


    Получается что у генерального регистратора в зоне .RU пароли хранятся в виде, поддающемся расшифровке, или просто в открытом виде. Идею про то, что пароль просто генерируется каждый раз при новом запросе восстановления я отбросила, запросив восстановление пароля несколько раз подряд.

    Здравствуй, XXI век.

    Update: инсайдом проскочила информация, что в операторском интерфейсе у ру-центра можно запросить анкету клиента вместе с техническим и административным паролями.
    Share post

    Comments 157

      +3
      Ну, если они зашифрованы каким-то ключом, который не компрометируется при утечке базы, то в этом нет ничего криминального. Это может быть даже надежнее, чем некоторые хеши.
        +17
        Мне казалось, что такие вещи должны криптоваться односторонне.
          +5
          Задача всяких измывательств над паролем — не дать злоумышленнику прочитать его, даже если он сольет базу, или иным образом (например, через sql-инъекцию) получит значение из базы.
          И хеширование, и шифрование эту задачу выполняют.
            +8
            А ключ по которому они дешифруют пароли, сотрудники руцентра носят с собой на флэшке, запирая на ночь в банковскую ячейку.
              –7
              если бы ;)
              в лучшем случае делают ключ зашитый в коде, а код закодирован чемто вроде zend-а
                0
                Так и запишем — те, кто хранят хэши md5+ключ, к примеру, для того, чтобы в случае утечки БД, или слитого программного комплекса целиком (обиженный уволенный сотрудник, etc) эффект ущерба был минимален — неправы. ;)
                +3
                Зачем? Он просто указывается в конфиге, на который у веб-сервера стоит deny (или находится вообще вне корня веб-сервера).
                  +1
                  Понимаете, меня слегка беспокоит человеческий фактор.

                  К примеру, обиженный уволенный сотрудник. Наезд компетентных органов с изъятием базы и всего содержимого серверов. Вуаля, пароли в чистом виде, даже не надо трудиться для того, чтобы их пробрутфорсить.

                  Я согласна с вами, что снаружи этот конфиг скорее всего недоступен (если там действительно работает та схема, которую мы сейчас обсуждаем), но никто не мешает аккуратно слить её на ту же флэшку.
                    +3
                    Ну и зачем в таких клинических случаях кому-то вообще нужен ваш пароль?
                    DNS поменять? :)
                      +2
                      Вам будет приятно, если у вас поменяют DNS у ваших проектов? ;)
                        +6
                        У руцентра зарегистрировано много важных доменов. И если обиженный сотрудник Вася сольет конкурентам пароли от аккаунта на котором сидит домен и эти конкуренты его перенаправят на свой сайт, то ущерб может быть нехилым.
                          +2
                          Кстати, kremlin.ru тоже у руцентра зарегистрирован :-)
                            +18
                            … обиженный сотрудник Вася слил пароли от kremlin.ru конкурентам, выключил компьютер и отправился обедать. Жить ему оставалось не более часа…
                              +10
                              …и отправился обедать в посольство США. Жить в этой стране ему осталось не более часа — путь до посольства на метро. ;)
                                +11
                                ничего, усилиями доблестных почтальонов письмо с полонием везде найдет своего получателя :)
                                  0
                                  Интересно, сколько доблестных почтальонов это письмо с собою захватит по пути в Васе? :-)
                                    –5
                                    По пути уже в Васе я думаю о здоровье почтальонов можно не беспокоиться. ;)
                                      –1
                                      *к Васе
                                      Хабр не дает исправлять опечатки чаще раза в 5 минут, прошу прощения.
                                    +1
                                    из страны его будут вывозить, я так понимаю, в виде диппочты? может быть даже по частям? :)
                                    ЗЫ. а что, кому-то в правительстве сша нужен пароль от кремлин.ру? Нафига бы? Представил, как Обама шантажирует Медведа угнаным доменом, чтобы снизить цену на нефть и газ… :) Или требует за выкуп стопиццот миллионов долларов. :)
                                      0
                                      Кстати, а с учётом объёмов циркулирующей диппочты и запрета на её досмотр, вполне себе в контейнере в самолёт запихать и можно. :)
                              0
                              А сто ДНСов — это уже заметный траффик.
                              А все ДНС Ру-Центра на 15 минут (пока саппорт не прочухется)? По моим подсчётам чуть менее, чем весь Рунет получается.
                              +3
                              Для защиты изнутри тоже есть средства.

                              Например, web.config в ASP.NET может быть прозрачно защищен с помощью DPAPI — слитый сотрудником на флешку, он будет содержать шифрованный мусор, расшифровать же его можно только на той же машине, где он был до этого зашифрован.
                              Наверняка есть что-то похожее для никсов и апача.
                              Ну и никто не отменял банальные права на файл — дать чтение только руту и веб-серверу — и нефиг всяким сотрудникам читать!

                              Кроме того, кому нужны юзерские пароли, если есть сам сервер со всеми потрохами? Быстрее закомментировать проверку в самом пэхапэшнике.
                                –3
                                но ведь обиженный сотрудник не знает пэхэпэшку
                                0
                                Чушь какая-то. Инсайдеру и тем более компетентным органам не надо ничего брутфорсить. Инсайдер может изменить пароль на новый не зная старого, а уж компетентным органам всю нужную им информацию вы и так предоставите на блюдечке (или вы ведёте речь про пресупную деятельность??), да и пароли среди этой информации их интересуют в самую последнюю очередь. Паранойя должна быть оправданой!
                                  0
                                  В случае, если сотрудник просто банально спёр БД с хэшами MD5 → ему таки как раз брутфорсить и нужно.
                                    0
                                    Даже если он спёр БД с паролями, зашифроваными симметричным алгоритмом, ему ещё надо либо спереть ключ, либо точно так же брутфорсить. Но зачем идти таким длинным путём, если можно сразу поменять пароль на другой? Хоть захешированый, хоть нет. Против человеческого фактора нет приёма, если нет другого лома.
                                –1
                                Получится симметричное шифрование с одним ключом на многих клиентов, оно мало поможет.

                                А вообще пароль клиента сотрудникам вряд ли нужен, так что скорее всего тут обычная недоработка.
                            0
                            В принципе, лишним это не будет. Но если ключ, по которому расшифровываются пароли хранится отдельно от базы (например, как отдельный файл), то чтобы расшифровать пароли придется найти способ как-то прочитать этот файл. А это требует еще одной уязвимости.

                              –1
                              вполне логичный и надёжный способ, когда пароль шифруется браузером на стороне пользователя. почему бы не воспользоваться им?
                            –5
                            Аналогично поступает portmone.com — украинский сервис для оплаты коммунальных услуг через интернет (который, например, хранит в себе мой номер карточки). Увы, альтернатив нет, а стоять в очередях в сберкассах совсем грустно; приходится пользоваться на свой страх и риск.
                              +1
                              Зачем страх и риск? Портмоне сертифицировано по PCI DSS, одним из требований которого является
                              2.3: обеспечение защиты данных держателей карт в ходе их хранения
                              Номер карточки — не бог весть что без cvv, а его они не хранят.

                              А альтернатив — их есть, вон Приват24 к вашим услугам. Только ж это не сравнимые по качеству и удобству вещи.
                                0
                                почему же не бог весть что, без cvv пока еще много где платежи принимаются…
                                  0
                                  Это да. Но если это проблема, её можно попробовать решить на уровне банка, запретив карту к транзакциям без cvv.
                                  +2
                                  Как пользователю, мне плевать на сертификаты, если прочесть мой пароль может любой человек, случайно проходящий мимо за моей спиной. Только нажал на «забыл пароль».

                                  Картинка раз:


                                  Картинка два:


                                  Если знать эту особенность, любой находящийся рядом со мной человек сможет, заметив, что я сижу в гмейле, зайти на сайт портмоне и попросить их отправить мне пароль. И потом из-за спины подглядывать на нотифай.

                                  Я очень рад, что хотя бы CVV они не хранят. Но я не соглашусь с минусовавшими, которые считают, что это нормальная ситуация и здесь нет повода для беспокойства.
                                    +1
                                    Как пользователю, обеспокоенному безопасностью, вам должно быть не плевать на сертификаты.

                                    зайти на сайт портмоне и попросить их отправить мне пароль. И потом из-за спины подглядывать на нотифай.

                                    И что он сделает с этим паролем? Заплатит вместо вас за квартиру? Номеров карточек в читаемом виде там нет.

                                    Хорошо, допустим, вас жмет ситуация, описанная на картинке. Что вы сделали?
                                    1) включили в gmail настройку «Не показывать начало писем»?
                                    2) написали в саппорт Портмоне просьбу печатать пароль на третьей странице сверху?
                                    3) поставили забор за спиной?

                                    Когда меня из излишней паранойи насторожил ввод cvv2, потенциально перехватываем с клавиатуры, я написал в саппорт. И, наверное, не один я — потому что исправили довольно быстро.

                                    Настоящий паранойик не кричит об уязвимостях. Он их предупреждает. Что можно сделать, если вас беспокоит утечка номера карты?
                                    1) Написать в банк заявление с просьбой запретить транзакции без ввода cvv2.
                                    2) Для карточек, не предназначенных для платежей в интернете, вообще отключить такую возможность.
                                    3) Для сервисов, которые cvv2 не требуют, а пользоваться ими нужно, завести отдельную карточку и держать на ней остаток только для текущего платежа. Перевёл ровно столько, сколько нужно — и сразу заплатил.

                                    Про культуру паролей сказано уже тысячу раз.

                                    Посмотрите на топикстартера: она уже не уверена, высылали ей начальный пароль или генерировали новый.

                                    Вообще, всё это нытье напоминает анекдот:
                                    — Мужчинка! Я вас боюсь! Вы меня изнасилуете!
                                    — Так как же я вас изнасилую, если я внизу, а вы на балконе?!
                                    — А я вам ключик сброшу…
                                      –4
                                      Мне кажется, вы не умеете читать.
                                        0
                                        А вы умеете писать отличные, информативные комментарии.
                                          –5
                                          Я просто не вижу смысла в дискуссии с людьми, априори ставящими себя на место КО. Поэтому вы можете дальше генерировать тонны графоманствующей копипасты, и считать себя непревзойдённым собеседником. Отвечать не трудитесь, диалог окончен.
                                +8
                                А Вы уверены, что они Вам новый не сгенерировали?
                                  –2
                                  До конца не уверена.

                                  Но на три запроса восстановления пароля с интервалами в час они присылали один и тот же пароль.

                                  Если же они генерируют новый пароль каждые, к примеру, сутки, на запрос, то можно всем доменам в зоне .ru устроить весёлую жизнь, просто запрашивая раз в сутки восстановления пароля. ;)
                                  • UFO just landed and posted this here
                                      0
                                      Точно не один раз в сутки. Запросите сами несколько раз подряд.
                                      • UFO just landed and posted this here
                                          0
                                          К D, административный.
                                          • UFO just landed and posted this here
                                              0
                                              Извините, не очень поняла вопроса. Что есть R-анкета? NIC-REG?
                                              • UFO just landed and posted this here
                                                  0
                                                  Если я правильно понимаю, то нет, домен регистрировался напрямую у nic.ru.
                                            –1
                                            Если я не ошибаюсь, пароль к NIC-REG анкете можно запросить только по оф. письмо от организации — владельца анкеты, с веба нельзя.
                                      +3
                                      на 100%, сегодня тоже восстанавливал, на почту пришел мой пароль — оказалось что тупо в регистре ошибся когда пароль вспоминал.
                                        –4
                                        Ппц
                                      –1
                                      Вполне возможно, что для восстановления генерируется временный пароль, salt-ом для которого может быть номер дороговора, etc.
                                        +1
                                        Не-а, не вытанцовывается. Иначе бы по запросу об восстановлении пароля как раз временный прилетал, а не основной, как писали комментом выше.
                                        –6
                                        Пароль пришёл в открытом виде. Значит и у хранителя он лежит в открытом виде. — Пример женской логики :)

                                        А к примеру вариант шифрования на основе «отрывного календаря» скажем на тексте книги Толстова «Война и Мир» не рассматривали(?)
                                          0
                                          Это шедевр невнимательного чтения заголовка. И текста. Но ничего страшного, не переживайте. Перепрочтите ещё раз.
                                            –6
                                            Ваше?
                                            — Причина: «Пароль: f33a1c7dd1»

                                            Заключение: «Получается что у генерального регистратора в зоне .RU пароли хранятся в виде, поддающемся расшифровке, или просто в открытом виде.»
                                              +2
                                              Ох. Я даже не знаю, что на это ответить. Извините пожалуйста, вы совершенно правы. У меня странная женская логика на основании которой я делаю такие странные выводы.

                                              Извините пожалуйста, я надеюсь, вас не сильно огорчит, что мы с вами мыслим разными логиками.
                                                +1
                                                Дайте ответ как получение вами сохранённого пароля связано с формой его хранения на сервере.

                                                Покажите плиз цепочку умозаключений приведших к «пароли хранятся в виде, поддающемся расшифровке». Это очень интересно, так как выше я показал вам совсем другой вариант.
                                                  –2
                                                  Вы правда считаете, что если пользователю по запросу восстановления пароля на почту падает его пароль, то на сервере пароль хранится в необратимой от декодирования (практически необратимой, полностью необратимой формы не существует) форме?

                                                  Или вам просто скучно и захотелось потроллить c кем-нибудь поспорить?
                                                    –7
                                                    Есть два варианта возможной ситуации: обратимая (или вообще чистая) форма и необратимая.

                                                    Всего лишь по той единственной информации, что они вернули пароль, _никак_ не следует какой вариант хранения на сервере. Вам просто _неоткуда_ это знать.

                                                    А делать заключение чисто из человеческой природы «раз отдали пароль, значит вообще валяется там в открытом виде...» нелогично. Вы гадаете и не более. Ни вы ни я и никто здесь не знает этого. Вы ВЕРИТЕ что там лежит в обратимой форме. ЗНАТЬ не можете. И ИНФОРМАЦИИ для достоверного ЗНАНИЯ что пароль в _обратимой_ форме — НЕДОСТАТОЧНО. Поэтому делать ваш ВЫВОД НЕЛОГИЧНО.

                                                    :)
                                                      +2
                                                      ЗЫ. аналогично тому «Я достаю конфету из одной из двух коробок, которые вы не видите, и отдаю вам. По факту получения конфеты, вы никак не можете судить откуда я её достал».
                                                    –3
                                                    PS. вы ожидали что РУцентр хранит хеш а не пароль. в таком случае он не мог бы передать вам пароль, у него его просто не было бы. но факт передачи пароля не означает что на сервере он незакриптован. а вы походу знаете только два варианта хранения, отсюда и непонятки.
                                                      +1
                                                      А вы, походу, незнакомы со значением слова «декодирование». Которое, надо сказать, в топике как-раз и упомянуто. Соответственно, пароль может быть хоть трижды «закриптован» (sic!) у nic.ru, но если он падает мне на почту открытым текстом, это означает, что сервер у nic.ru расшифровывает его перед тем, как отправить мне на мыло.

                                                      Что принципиально отличается от хранения на сервере хэшей. И уменьшает риск от возможного увода базы + ключей.
                                                        0
                                                        не понимаю, откуда плюсы?

                                                        расскажите пожалуйста, как еще на сервере может храниться пароль, крома как в виде хэша, зашифрованной строки и чистой строки?
                                                          0
                                                          Какая разница, лежат пароли в открытом виде или в открытом виде лежит пароль от паролей?
                                              • UFO just landed and posted this here
                                                  0
                                                  Ну заглушку нужно ставить заранее, чтобы база набралась. А гадким сотрудник чаще становится после (или сразу перед) увольнения. Опять же заглушку могут заметить — это риск. Так что риски от открытой (или декодируемой) базы паролей и риски от потенциально заглушки несопоставимы. А так в целом да согласен, нужно грамотно персонал подбирать.

                                                  Кстати, а вдруг (ну оптимист я), у них кодированием-декодированием паролей (а заодно и авторизацией) занимается отдельный жутко секретный сервер на котором работают только надежные люди. Если разделить хранение паролей и их кодирование-декодирование, так чтобы ни один человек не имел доступ к обоим частям, тогда пароли можно стибрить действительно только через «заглушку». Вот только сомневаюсь я что они пойдут на такие сложности (я еще и реалист).
                                                  • UFO just landed and posted this here
                                                      –2
                                                      максимум что можно сделать уводом пароля — обключить сайт на неделю. Восстановление пароля еще никто не отменял
                                                        –2
                                                        Так я же не сказал что заглушка безвреда. Я сказал несопоставима. Авторизуются думаю сущие проценты от полного объема. И заглушка гораздо опаснее, заметят и сразу «под белы рученьки» на суд, ну не сразу, последят чуток, пока базу от заглушки сольешь. А полную базу с паролями еще докажи что сливал, это же разовая операция.
                                                      –2
                                                      кагбэ если есть доступ на то, чтобы поставить заглушку в скриптах на боевом сервере — тут уже никакие технические ухищрения не помогут.
                                                      • UFO just landed and posted this here
                                                    • UFO just landed and posted this here
                                                        +1
                                                        А dns так вообще застрял на отметке 1987 года, т.к. является наиболее основополагающим сервисом интернета. И что?
                                                        По мне так пускай он хоть навсегда застрянет, лишь бы очередной топменеджер не устраивал технические перевороты каждые полгода и вытекающие глюки.
                                                        –6
                                                        Чтобы понять происходящее я должен был прочитать раз 5 эту статью. Вы случайно не из чиновников будете???
                                                        • UFO just landed and posted this here
                                                            –1
                                                            Нет, из эльфов 80го уровня. Я рада, что вы прочитали эту «статью».
                                                              –10
                                                              теперь понял, Вы-ы-ы эстооооонкаааа
                                                                –4
                                                                сразу возникает ощущение что общение происходит с умным, адекватным, начитанным и интересным человеком :)
                                                                  0
                                                                  ))) точно подкололи.
                                                                  Действительно прочитал и как-то некрасиво получилось.
                                                                  Мои извинения
                                                            +7
                                                            Это что, я как-то запросил transfer-key для доменов у регистратора webnames (через переписку по email)
                                                            На что они меня попросили «чтобы удостовериться что я это я» прислать им последние 3 буквы моего пароля.
                                                            • UFO just landed and posted this here
                                                                +3
                                                                А у «в контакте» тоже восстановление пароля таким же способом работает: приходит юзерский пароль.
                                                                  –2
                                                                  Вы явно что-то перепутали. У нас в ру-центре пароли хранятся в закрытом виде. Когда вы простите восстановить пароль, вам на e-mail высылается случайно сгенерированный пароль, да. Но в базе данных он хранится в виде какого-нибудь md5 (или sha1 или sha256...) хеша.

                                                                  Если бы это было не так, то в письме пришел бы ваш старый пароль.
                                                                    –2
                                                                    Посмотрите, пожалуйста на этот комментарий.

                                                                    Каким образом, если при восстановлении пароля высылается случайно сгенерированный пароль, человеку на почту пришёл его старый пароль? Как интересно совпало.
                                                                      +1
                                                                      Прочитал все комментарии повнимательнее. Если вы уверены, что с генерацией паролей что-то не так, то пишите в саппорт, а не на Хабр.
                                                                        +2
                                                                        А вот с этим — полностью согласен.
                                                                        Сначала правильнее написать в саппорт, и уж потом, — если не реагируют, — то на хабр или ещё куда.
                                                                          –3
                                                                          Я предполагаю, что подобная схема хранения паролей просто досталась в наследство со старых времён и ру-центр её не меняет в силу каких-то своих причин. И что прикажете писать в саппорт?
                                                                            +2
                                                                            Ну, приказывать я точно не буду, но порекомендовать могу.
                                                                            Это является «правилом хорошего тона» — сначала написать в саппорт о замеченных недостатках проекта, а потом уж — и в паблик можно.

                                                                            Иначе получается просто гонка за понтами/известностью/кармой — не очень-то красиво, не находите? ;)

                                                                            В любом случае, желаю удачи =)
                                                                              –3
                                                                              Вы действительно полагаете, что в саппорте ру-центра об этом не знают?
                                                                                0
                                                                                Я уверен, что официальный ответ ру-центра будет гораздо полезнее, чем наш разговор «ни о чём».
                                                                                Да и пост был бы полнее с цитатой из ответа техподдержки, не находите?
                                                                                  –4
                                                                                  Отписала в саппорт техподдержки, раз уж мнение хабравчан на этом настояло.

                                                                                  Параллельно тут народ высказал идею, что с 1 января в России вступил в силу закон об защите персональных данных, и соответственно подобные данные ру-центр обязан шифровать по ГОСТу.
                                                                                    0
                                                                                    Закон о перс. данных отредактировали. Для уже существующих систем требования вступят в силу с 2011 года. А также в новой редакции убраны требования по криптографической защите данных. Так что, никто ничего шифровать не обязан.
                                                                                    0
                                                                                    Была бы еще одна лулза :) С ней пост явно смотрелся бы интереснее :)
                                                                                0
                                                                                Я бы написал так:

                                                                                Здравствуйте, меня зовут… договор номер…

                                                                                Меня сильно беспокоит, что… Скажите, пожалуйста, действительно ли пароли хранятся в открытом виде и если это так, то какими обстоятельствами вызвано и планируется ли изменить ситуацию в будущем?

                                                                                С уважением.
                                                                                [тут ссылка на twitter и профиль в habrahabr]
                                                                          –1
                                                                          Может быть в закрытом от вас лично :) Но описанный факт имеет место быть. договор nic-d из серии 85XXX.
                                                                            +2
                                                                            Это, извините, враньё.

                                                                            Мне уже два года при восстановлении пароля приходит один и тот же пароль — тот, который у меня был изначально.
                                                                            Пароль я восстанавливал больше десяти раз за всё это время — он хранится дома на компьютере, а мне срочно нужно было получить доступ в свой личный кабинет с работы. Дома я специально сравнивал пароль, который мне пришёл по почте с тем, который у меня записан — один в один.

                                                                            Так что я даже и не знаю, из какого это вы «у нас в ру-центре» ;)
                                                                              –3
                                                                              Тут проскочила информация инсайд, о том что, цитирую дословно: «в операторском интерфейсе у ру-центра можно запросить анкету клиента вместе с техническим и административным паролями».
                                                                                –1
                                                                                >> Так что я даже и не знаю, из какого это вы «у нас в ру-центре»
                                                                                Называется «Департамент информационно-аналитических исследований».

                                                                                >> Это, извините, враньё…
                                                                                Вообще вы заставили меня призадуматься. Я точно знаю, что в случае с хостингом, пароли от баз данных и ssh всегда генерируются случайно, в админке нет даже возможности их сменить на собственный.

                                                                                Если вы уверены, что пароли от самих учетных записей хранятся в открытом виде, жалуйтесь в саппорт. Не вижу причин, мешающих решить эту проблему.
                                                                                  0
                                                                                  Я-то жаловаться точно не буду — мне это как-то не мешает жить ;)
                                                                                  Можно даже сказать, что не бага, а «фича». Хреновенькая, правда, фича :D

                                                                                  Насчёт хостинга, баз данных и ssh — не скажу, т.к. не знаю наверняка.

                                                                                  Всего наилучшего! =)
                                                                                    –2
                                                                                    Это не «бага» и не «фича». Это «особенность архитектуры». :)
                                                                                –1
                                                                                перепутали скорее всего вы
                                                                                я только что запросил восстановление пароля, мне прислали его в оригинале
                                                                              –2
                                                                              Что за сыр-бор?
                                                                              Ну генерится пароль не чаще чем N раз в сутки. И это правильно, если хорошо подумать.
                                                                              Ну получается пароль не kiska21, а f33a1c7dd1.
                                                                              В чем проблема-то? Откуда истерика?
                                                                                –1
                                                                                Я не знаю, где вы увидели истерику вообще. Успехов в знании того, что где-то хранится ваш пароль плэйнтекстом. ;)

                                                                                P.S. Я бы вам порекомендовала пароли с kiska* поменять на что-то другое. ;)
                                                                                  –1
                                                                                  Меня абсолютно не волнует где и как хранятся мои пароли, т.к. я пользуюсь надежными хостерами, и имею отдельный сложный пароль для каждого сайта/сервиса, в том числе и для хабра.

                                                                                  А вам я бы посоветовал выпить валерьянки и поспать. Не украдут ваш замечательный сайт. Знаете анекдот про неуловимого Джо? :)
                                                                                    –1
                                                                                    Поспите сами, завтра с утра проспите школу, и вас отругают.
                                                                                0
                                                                                На самом деле проблема в том, что этот пароль, который приходит на почту в открытом виде — может использоваться для кучи других сервисов. И после этого письма, в идеале, надо вспомнить все сервисы, где был такой пароль и поменять его везде.
                                                                                  –10
                                                                                  Любое шифрование имеет обратную сторону — да, безопаснее, но зная шифр узнать пароль на раз два можно.
                                                                                  Из хеша, того же популярного md5 пароли восстанавливаются спокойно.

                                                                                  Есть простой выход: приписывать к зашифрованному паролю префикс или постфикс, всегда разный, но тоже обсчитываемый по алгоритму, и даже если ваша база утечет и злоумышленник будет знать шифр, расшифровав пароли с дописанными постфиксами и префиксами доступа он никуда не получит — это более надежный вариант, но увы тоже поддающийся взлому.
                                                                                  • UFO just landed and posted this here
                                                                                      –6
                                                                                      У меня здесь обычный домашний ПК.
                                                                                      Я ваш пароль буду вычислять долго — и мне это не надо. Я имел в виду, если озадачиться целью получить — получите.
                                                                                      • UFO just landed and posted this here
                                                                                          –7
                                                                                          P_r_i_m_a_t, я написал что: «я спокойно» или же как вы правильно подметили, я не говорил, что это делаю спокойно Я. Простите, если я нечетко ранее выразился.
                                                                                          Повторяю: озадачившись целью, подключив все вычислительные ресурсы пароли из md5 можно восстановить.
                                                                                            +5
                                                                                            Проще подключить один нагревательный ресурс, чем все вычислительные ;)
                                                                                            • UFO just landed and posted this here
                                                                                                –7
                                                                                                Я этого не отрицаю.
                                                                                                Но вы же сами говорите, что если есть желание и смысл все спокойно восстанавливается.
                                                                                                • UFO just landed and posted this here
                                                                                                    0
                                                                                                    Спасибо что разъяснили.
                                                                                                    Так бы сразу написали, не подумал об этом. Вы правы.

                                                                                        –2
                                                                                        Из хеша, того же популярного md5 пароли восстанавливаются спокойно.

                                                                                        Бла-бла-бла…
                                                                                        Восстановите мне, пожалуйста, «спокойно» пароль по вот этому MD5: 2895aec108285da52d09d2efbfe90095?
                                                                                          –2
                                                                                          Ну Вы бы хоть намекнули сколько там символов, какой алфавит, а то человек загрузит счас суперкомпьютер вашим паролем, а через 50 лет выяснится что там 100 знаков и алфавит — все что вы на клавиатуре нашли, да еще и посолили несколько раз :)
                                                                                            –2
                                                                                            Человек бахвалится тем, что он может, или по крайней мере, знает, как «спокойно», «на раз два» восстановить пароль по MD5. Уверен, он справится :D
                                                                                            Пожелаем ему удачи, и до встречи через 50 лет =)
                                                                                              –4
                                                                                              Где вы все видите что это «Я» спокойно их восстанавливаю ?!
                                                                                              моя мысль была такова: при желании, всё восстановима.

                                                                                              если бы я имел такие ресурсы, чтобы быстро и спокойно восстанавливать — я бы так и написал " Я знаю способ быстрой дешифровки" — я такого не писал, прошу не читать такой фразы между строк. Там такого нет.
                                                                                                –1
                                                                                                Бла-бла-бла…
                                                                                                Понятно. Спасибо за вашу мысль. Она, очевидно, очень ценна и оригинальна.
                                                                                                Удачи =)
                                                                                          –2
                                                                                          Ну восстановите из md5 16 значный пароль не содержащий слов, пусть будет алфавит латиница (верхний и нижний регистр) и цифры. Вы как я понимаю про буртфорс говорили?

                                                                                          А по поводу вашего алгоритма (вы ведь об обратимом шифровании говорили?) если сопрут базу, скорее всего сопрут и алгоритм, а значит толку от соли не будет. К тому же принцип генерации соли можно попытатся получить зарегистрировав несколько своих аккаунтов и потом проанализировав пароли. Так что я не вижу особой надежности вашего способа.
                                                                                          Или вы про соль при необратимом шифровании говорили (тот же md5), тогда соль да, хорошо, лучше чем чистый md5, тут никто не спорит.
                                                                                            0
                                                                                            не надо путать шифрование (aes, blowfish, idea...) с криптографическим хэшированием (md5, sha256, ...)
                                                                                              –1
                                                                                              > приписывать к зашифрованному паролю префикс или постфикс
                                                                                              Вы имете в виду к «шифруемому»?
                                                                                                –2
                                                                                                У вас есть пароль: password
                                                                                                В MD5: 5f4dcc3b5aa765d61d8327deb882cf99
                                                                                                к паролю в MD5 добавляем по заданному алгоритму определенный префикс и постфикс.

                                                                                                Если пользователь захочет восстановить свой исходный пароль, система ему сама, зная алгоритм добавления префиксов и постфиксов выдаст его начальный пароль.

                                                                                                Я согласен что метод не гениален и не супер как защищает, это лишь одна дополнительная ступень в защите. Поверьте, так сложнее расшифровать пароль.
                                                                                                –2
                                                                                                У любого хеша бывают коллизии — на то он и хеш. Количество строк бесконечно, а количество различных MD5 — конечно, т.к. у него фиксированная длина. Значит по MD5 хешу восстановить пароль однозначно невозможно теоретически!
                                                                                                –1
                                                                                                Такая же фигня у Национального оператора электрозвъязку.
                                                                                                Ух ты, оказывается можно было пост на этом замутить :)
                                                                                                  –2
                                                                                                  Автор, расскажите пожалуйста, что страшного в хранении паролей в явном виде?
                                                                                                    –3
                                                                                                    Разве я сказала, что это страшно? Я написала о том, что меня удивило, что данные хранятся таким образом. ;)
                                                                                                      0
                                                                                                      впринципе если уведут мыло и на таких вот сайтах будут восстанавливать пароли — то есть вероятность что этот пароль у вас используется ещё где-то и таким образом его узнают.
                                                                                                        +1
                                                                                                        Ну, раз Вы удивились, значит ожидали чего-то другого, что считали более правильным по какой-то причине. Вот и интересно.
                                                                                                          –1
                                                                                                          Да. Я ожидала схемы со временным паролем или ссылкой в почту для изменения пароля, а-ля Google.
                                                                                                            +2
                                                                                                            И? Чем она лучше? А если ничем, то в чём смысл Вашего топика?
                                                                                                        –1
                                                                                                        Ну вообще-то считается, что это плохо. Если кто-то доберется до базы данных, то получит пароли всех пользователей (а их там ой как много). Правда, имея доступ к БД пароли уже не нужны — можно перегонять и продлевать домены без паролей. Но кто знает, вдруг пароль подойдет к постовому ящику или Яндекс.Деньгам…
                                                                                                          –1
                                                                                                          «Правда, имея доступ к БД пароли уже не нужны — можно перегонять и продлевать домены без паролей» — можно только недолго, пока не заметят и не поднимут дамп. А с паролями совсем другое дело.
                                                                                                            –1
                                                                                                            Не вижу разницы, как это делать — через админку или БД. Вероятность спалиться одна и та же — зависит от объема внесенных изменений.
                                                                                                              –1
                                                                                                              Как только доступ к базе прикроют то все, больше ничего не изменишь.
                                                                                                              Если есть пароли менять можно долго. Ну узнает контора что базу сперли, ну разошлет сообщения всем клиентам (в лучшем случае, а скорее всего долго замалчивать будет) о том что стоит пароли поменять (простите мы лоханулись). Но ведь не все ринутся менять сразу, опять же почту пока прочитают, а некоторые вообще забьют.
                                                                                                              Если получили доступ к базе — веселья на пару часов максимум — пока не начнут звонить клиенты. Если получили пароли то день минимум можно веселится (если жестко не закроют авторизацию) а для некоторых аккаунтов (о которых владельцы уже и не помнят, или в отпуске, или письмо не дошло) значительно дольше.
                                                                                                            0
                                                                                                            Если некто получил доступ к базе, то это само по себе полный конец обеда, разве нет? Там и помимо паролей информации более чем достаточно, причём реальной (типа паспортных данных).

                                                                                                            А к 90% почтовых ящиков и так подходят пароли из набора 12345, qwerty, gfhjkm и т. д.
                                                                                                            0
                                                                                                            Гуглить религия не позволяет? Тема хранения паролей в открытом виде миллион раз обсосана, наверное уже на всех языках мира. Но все равно находятся те, кто считает что лучше потратить чужие 20 минут своим тупым запросом «обоснуй\расскажи» чем набрать запрос в поисковике и за 5 минут прочитать все уже разжеванное
                                                                                                              0
                                                                                                              По теме хранения паролей я и сам могу лекции читать. Мне интересна аргументация данного конкретного автора, который аж на топик расщедрился, но до сих пор на прямой вопрос ответить не соизволил…

                                                                                                              Не кипятитесь так. Оно для здоровья неполезно.
                                                                                                            –1
                                                                                                            Ru center ведь не единственные, кто таким образом хранит и восстанавливает пароли. И ничего, все живы, все довольны. Шифрование сегодня это позволяет.

                                                                                                            Но тут встает проблема защиты от компрометации ключа, что за собой влечет еще ряд мероприятий, и т.д.

                                                                                                            Даже самая надежная система надежна до тех пор, пока кому-то ну очень сильно не захочется в нее попасть. А учитывая, что она подключена к сети…
                                                                                                              +1
                                                                                                              Парни, вы не поверите :)
                                                                                                              В своё время я для двух доменов поменял контактный email и ns-сервера ПРОСТО ПОЗВОНИВ регистратору!
                                                                                                              Девочка все сделала за 5 минут, никак меня не авторизовав.

                                                                                                              Имя героя назову- mtw.ru (год назад у этих героев было 14999 доменов по данным stat1.ru).

                                                                                                              Домены были не мои, а моего клиента. После этого опуса сразу все перевёл в руцентр.
                                                                                                              Хотя знаю случаи, когда и у руцентра их уводили, но более серьезными способами — если домен зареган на юрлицо.
                                                                                                              У «Физиков» увести сложнее, поэтому рекомендую регистрировать домены на физлицо (например, на имя собственника), а не на организацию.

                                                                                                              P.S. Где-то даже запись звонка в mtw.ru валяется. И хостинг у них паршивый :(
                                                                                                                0
                                                                                                                Просмотрел бегло комментарии — просто какой-то топик зла получается :) почти все «красное».
                                                                                                                –2
                                                                                                                Хмм… Полученый пароль — явно кусок Guid'а (очень характерные последовательности). Т.е. все же ИМХО Вам сгенерили новый пароль (если только вы сами не используете такой метод для генерации своих паролей, но в таком случае вы бы заметили эту особенность), но сделали это достаточно халатным способом, т.к. во-первых, хоть генерация гуида и уникальна, но достаточно предсказуема и легко поддается брутфорсу (особенно если знать как создается сам гуид, да и тупо перебором — там словарь всего в 16 символов получается.

                                                                                                                Вообще в таком случае ру-центр в сильно опасной ситуации, т.к. теперь можно запрашивать смену пароля а новый тупо перебирать — очень слабенький новый пароль получается

                                                                                                                PS Мы тоже от лени в некоторых случаях генерим пароль таким способом, но только на несущественные сервисы и с рекомендацией пользователю о смене пароля на более стойкий.
                                                                                                                  –1
                                                                                                                  Вы думаете эту машину «RU-CENTER» кто-то возьмется переписывать? Этот регистратор писался десятилетие разными людьми, поэтому их интерфейс топчится на месте и не ожидается революций в удобстве и управлении.
                                                                                                                    0
                                                                                                                    Переписка с хостингом 1gb

                                                                                                                    1Gb.ru (19:14:57 16/11/2009)
                                                                                                                    Здравствуйте.

                                                                                                                    1Gb.ru (19:16:26 16/11/2009)
                                                                                                                    Это только мы вам можем сделать, скажите логин от кабинета и первые три символа пароля.

                                                                                                                    MindMap (19:18:06 16/11/2009)
                                                                                                                    логин XXXXXX пароль 093

                                                                                                                    Возможно так сделать только для домена XXXXX .ru а на всех остальных доменах оставить как есть.

                                                                                                                    MindMap (19:18:27 16/11/2009)
                                                                                                                    З, Ы, ВЫ ХРАНИТЕ ПАРОЛИ В ОТКРЫТОМ ВИДЕ?????? =-O

                                                                                                                    1Gb.ru (19:19:34 16/11/2009)
                                                                                                                    Ну что вы, только ваш ;)

                                                                                                                    MindMap (19:19:57 16/11/2009)
                                                                                                                    Не смешно :(

                                                                                                                    MindMap (19:21:05 16/11/2009)
                                                                                                                    Что будет если непонятно кто добереться до этой базы?
                                                                                                                    Что будет если один из Ваших специалистов уволиться и заберет с собой базу паролей???

                                                                                                                    1Gb.ru (19:22:16 16/11/2009)
                                                                                                                    Вы сами знаете что будет.

                                                                                                                    MindMap (19:23:57 16/11/2009)
                                                                                                                    Я очень растроен :(
                                                                                                                    • UFO just landed and posted this here
                                                                                                                      • UFO just landed and posted this here
                                                                                                                      –4
                                                                                                                      Я конечно далеко не спец в безопасности но!
                                                                                                                      Берём флешку со злобным файлом /dev/urandom > /dev/sda1 и используем её как пароль… прозрачно файл с паролями разорхивируется находится нужный домен возвращается проль. Если запросов более чем ынцать то блочится ip или сотрудник ну это на вскидку и после много пива…
                                                                                                                      • UFO just landed and posted this here
                                                                                                                          0
                                                                                                                          совсем недавно была новость про скидки на dreamhost.com
                                                                                                                          так вот у них пароли тоже хранятся в открытом виде (меня попросили прислать последние 4 символа для авторизации)
                                                                                                                            0
                                                                                                                            Детский сад-ромашка (да, да минусуйте меня за эти слова). Какая разница, как зашифрован пароль? Вы хотите, чтобы все было необратимо? Пожалуйста, ради бога. Мне тогда, как недовольному сотруднику, достаточно поменять ваш контактный e-mail, на свой и запросить восстановление пароля. Вас тревожит переписывание dns? А супер-пароль спасет вас, если я перерегистрирую ваш домен на свой паспорт прямо в базе? Может номер паспорта тоже необратимо шифровать?
                                                                                                                            Вы как-то очень однобоко подходите к проблеме безопасности.
                                                                                                                            • UFO just landed and posted this here
                                                                                                                              –3
                                                                                                                              И вот такие горе IT специалисты создают горе IT продукты, которые валятся с первого же пинка :)
                                                                                                                              • UFO just landed and posted this here

                                                                                                                                Only users with full accounts can post comments. Log in, please.