Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 157
Ну, если они зашифрованы каким-то ключом, который не компрометируется при утечке базы, то в этом нет ничего криминального. Это может быть даже надежнее, чем некоторые хеши.
Мне казалось, что такие вещи должны криптоваться односторонне.
Задача всяких измывательств над паролем — не дать злоумышленнику прочитать его, даже если он сольет базу, или иным образом (например, через sql-инъекцию) получит значение из базы.
И хеширование, и шифрование эту задачу выполняют.
И хеширование, и шифрование эту задачу выполняют.
А ключ по которому они дешифруют пароли, сотрудники руцентра носят с собой на флэшке, запирая на ночь в банковскую ячейку.
если бы ;)
в лучшем случае делают ключ зашитый в коде, а код закодирован чемто вроде zend-а
в лучшем случае делают ключ зашитый в коде, а код закодирован чемто вроде zend-а
Зачем? Он просто указывается в конфиге, на который у веб-сервера стоит deny (или находится вообще вне корня веб-сервера).
Понимаете, меня слегка беспокоит человеческий фактор.
К примеру, обиженный уволенный сотрудник. Наезд компетентных органов с изъятием базы и всего содержимого серверов. Вуаля, пароли в чистом виде, даже не надо трудиться для того, чтобы их пробрутфорсить.
Я согласна с вами, что снаружи этот конфиг скорее всего недоступен (если там действительно работает та схема, которую мы сейчас обсуждаем), но никто не мешает аккуратно слить её на ту же флэшку.
К примеру, обиженный уволенный сотрудник. Наезд компетентных органов с изъятием базы и всего содержимого серверов. Вуаля, пароли в чистом виде, даже не надо трудиться для того, чтобы их пробрутфорсить.
Я согласна с вами, что снаружи этот конфиг скорее всего недоступен (если там действительно работает та схема, которую мы сейчас обсуждаем), но никто не мешает аккуратно слить её на ту же флэшку.
Ну и зачем в таких клинических случаях кому-то вообще нужен ваш пароль?
DNS поменять? :)
DNS поменять? :)
Вам будет приятно, если у вас поменяют DNS у ваших проектов? ;)
У руцентра зарегистрировано много важных доменов. И если обиженный сотрудник Вася сольет конкурентам пароли от аккаунта на котором сидит домен и эти конкуренты его перенаправят на свой сайт, то ущерб может быть нехилым.
Кстати, kremlin.ru тоже у руцентра зарегистрирован :-)
… обиженный сотрудник Вася слил пароли от kremlin.ru конкурентам, выключил компьютер и отправился обедать. Жить ему оставалось не более часа…
…и отправился обедать в посольство США. Жить в этой стране ему осталось не более часа — путь до посольства на метро. ;)
ничего, усилиями доблестных почтальонов письмо с полонием везде найдет своего получателя :)
из страны его будут вывозить, я так понимаю, в виде диппочты? может быть даже по частям? :)
ЗЫ. а что, кому-то в правительстве сша нужен пароль от кремлин.ру? Нафига бы? Представил, как Обама шантажирует Медведа угнаным доменом, чтобы снизить цену на нефть и газ… :) Или требует за выкуп стопиццот миллионов долларов. :)
ЗЫ. а что, кому-то в правительстве сша нужен пароль от кремлин.ру? Нафига бы? Представил, как Обама шантажирует Медведа угнаным доменом, чтобы снизить цену на нефть и газ… :) Или требует за выкуп стопиццот миллионов долларов. :)
А сто ДНСов — это уже заметный траффик.
А все ДНС Ру-Центра на 15 минут (пока саппорт не прочухется)? По моим подсчётам чуть менее, чем весь Рунет получается.
А все ДНС Ру-Центра на 15 минут (пока саппорт не прочухется)? По моим подсчётам чуть менее, чем весь Рунет получается.
Для защиты изнутри тоже есть средства.
Например, web.config в ASP.NET может быть прозрачно защищен с помощью DPAPI — слитый сотрудником на флешку, он будет содержать шифрованный мусор, расшифровать же его можно только на той же машине, где он был до этого зашифрован.
Наверняка есть что-то похожее для никсов и апача.
Ну и никто не отменял банальные права на файл — дать чтение только руту и веб-серверу — и нефиг всяким сотрудникам читать!
Кроме того, кому нужны юзерские пароли, если есть сам сервер со всеми потрохами? Быстрее закомментировать проверку в самом пэхапэшнике.
Например, web.config в ASP.NET может быть прозрачно защищен с помощью DPAPI — слитый сотрудником на флешку, он будет содержать шифрованный мусор, расшифровать же его можно только на той же машине, где он был до этого зашифрован.
Наверняка есть что-то похожее для никсов и апача.
Ну и никто не отменял банальные права на файл — дать чтение только руту и веб-серверу — и нефиг всяким сотрудникам читать!
Кроме того, кому нужны юзерские пароли, если есть сам сервер со всеми потрохами? Быстрее закомментировать проверку в самом пэхапэшнике.
Чушь какая-то. Инсайдеру и тем более компетентным органам не надо ничего брутфорсить. Инсайдер может изменить пароль на новый не зная старого, а уж компетентным органам всю нужную им информацию вы и так предоставите на блюдечке (или вы ведёте речь про пресупную деятельность??), да и пароли среди этой информации их интересуют в самую последнюю очередь. Паранойя должна быть оправданой!
В случае, если сотрудник просто банально спёр БД с хэшами MD5 → ему таки как раз брутфорсить и нужно.
Даже если он спёр БД с паролями, зашифроваными симметричным алгоритмом, ему ещё надо либо спереть ключ, либо точно так же брутфорсить. Но зачем идти таким длинным путём, если можно сразу поменять пароль на другой? Хоть захешированый, хоть нет. Против человеческого фактора нет приёма, если нет другого лома.
Получится симметричное шифрование с одним ключом на многих клиентов, оно мало поможет.
А вообще пароль клиента сотрудникам вряд ли нужен, так что скорее всего тут обычная недоработка.
А вообще пароль клиента сотрудникам вряд ли нужен, так что скорее всего тут обычная недоработка.
В принципе, лишним это не будет. Но если ключ, по которому расшифровываются пароли хранится отдельно от базы (например, как отдельный файл), то чтобы расшифровать пароли придется найти способ как-то прочитать этот файл. А это требует еще одной уязвимости.
вполне логичный и надёжный способ, когда пароль шифруется браузером на стороне пользователя. почему бы не воспользоваться им?
Аналогично поступает portmone.com — украинский сервис для оплаты коммунальных услуг через интернет (который, например, хранит в себе мой номер карточки). Увы, альтернатив нет, а стоять в очередях в сберкассах совсем грустно; приходится пользоваться на свой страх и риск.
Зачем страх и риск? Портмоне сертифицировано по PCI DSS, одним из требований которого является
А альтернатив — их есть, вон Приват24 к вашим услугам. Только ж это не сравнимые по качеству и удобству вещи.
2.3: обеспечение защиты данных держателей карт в ходе их храненияНомер карточки — не бог весть что без cvv, а его они не хранят.
А альтернатив — их есть, вон Приват24 к вашим услугам. Только ж это не сравнимые по качеству и удобству вещи.
почему же не бог весть что, без cvv пока еще много где платежи принимаются…
Как пользователю, мне плевать на сертификаты, если прочесть мой пароль может любой человек, случайно проходящий мимо за моей спиной. Только нажал на «забыл пароль».
Картинка раз:
Картинка два:
Если знать эту особенность, любой находящийся рядом со мной человек сможет, заметив, что я сижу в гмейле, зайти на сайт портмоне и попросить их отправить мне пароль. И потом из-за спины подглядывать на нотифай.
Я очень рад, что хотя бы CVV они не хранят. Но я не соглашусь с минусовавшими, которые считают, что это нормальная ситуация и здесь нет повода для беспокойства.
Картинка раз:
Картинка два:
Если знать эту особенность, любой находящийся рядом со мной человек сможет, заметив, что я сижу в гмейле, зайти на сайт портмоне и попросить их отправить мне пароль. И потом из-за спины подглядывать на нотифай.
Я очень рад, что хотя бы CVV они не хранят. Но я не соглашусь с минусовавшими, которые считают, что это нормальная ситуация и здесь нет повода для беспокойства.
Как пользователю, обеспокоенному безопасностью, вам должно быть не плевать на сертификаты.
И что он сделает с этим паролем? Заплатит вместо вас за квартиру? Номеров карточек в читаемом виде там нет.
Хорошо, допустим, вас жмет ситуация, описанная на картинке. Что вы сделали?
1) включили в gmail настройку «Не показывать начало писем»?
2) написали в саппорт Портмоне просьбу печатать пароль на третьей странице сверху?
3) поставили забор за спиной?
Когда меня из излишней паранойи насторожил ввод cvv2, потенциально перехватываем с клавиатуры, я написал в саппорт. И, наверное, не один я — потому что исправили довольно быстро.
Настоящий паранойик не кричит об уязвимостях. Он их предупреждает. Что можно сделать, если вас беспокоит утечка номера карты?
1) Написать в банк заявление с просьбой запретить транзакции без ввода cvv2.
2) Для карточек, не предназначенных для платежей в интернете, вообще отключить такую возможность.
3) Для сервисов, которые cvv2 не требуют, а пользоваться ими нужно, завести отдельную карточку и держать на ней остаток только для текущего платежа. Перевёл ровно столько, сколько нужно — и сразу заплатил.
Про культуру паролей сказано уже тысячу раз.
Посмотрите на топикстартера: она уже не уверена, высылали ей начальный пароль или генерировали новый.
Вообще, всё это нытье напоминает анекдот:
— Мужчинка! Я вас боюсь! Вы меня изнасилуете!
— Так как же я вас изнасилую, если я внизу, а вы на балконе?!
— А я вам ключик сброшу…
зайти на сайт портмоне и попросить их отправить мне пароль. И потом из-за спины подглядывать на нотифай.
И что он сделает с этим паролем? Заплатит вместо вас за квартиру? Номеров карточек в читаемом виде там нет.
Хорошо, допустим, вас жмет ситуация, описанная на картинке. Что вы сделали?
1) включили в gmail настройку «Не показывать начало писем»?
2) написали в саппорт Портмоне просьбу печатать пароль на третьей странице сверху?
3) поставили забор за спиной?
Когда меня из излишней паранойи насторожил ввод cvv2, потенциально перехватываем с клавиатуры, я написал в саппорт. И, наверное, не один я — потому что исправили довольно быстро.
Настоящий паранойик не кричит об уязвимостях. Он их предупреждает. Что можно сделать, если вас беспокоит утечка номера карты?
1) Написать в банк заявление с просьбой запретить транзакции без ввода cvv2.
2) Для карточек, не предназначенных для платежей в интернете, вообще отключить такую возможность.
3) Для сервисов, которые cvv2 не требуют, а пользоваться ими нужно, завести отдельную карточку и держать на ней остаток только для текущего платежа. Перевёл ровно столько, сколько нужно — и сразу заплатил.
Про культуру паролей сказано уже тысячу раз.
Посмотрите на топикстартера: она уже не уверена, высылали ей начальный пароль или генерировали новый.
Вообще, всё это нытье напоминает анекдот:
— Мужчинка! Я вас боюсь! Вы меня изнасилуете!
— Так как же я вас изнасилую, если я внизу, а вы на балконе?!
— А я вам ключик сброшу…
А Вы уверены, что они Вам новый не сгенерировали?
До конца не уверена.
Но на три запроса восстановления пароля с интервалами в час они присылали один и тот же пароль.
Если же они генерируют новый пароль каждые, к примеру, сутки, на запрос, то можно всем доменам в зоне .ru устроить весёлую жизнь, просто запрашивая раз в сутки восстановления пароля. ;)
Но на три запроса восстановления пароля с интервалами в час они присылали один и тот же пароль.
Если же они генерируют новый пароль каждые, к примеру, сутки, на запрос, то можно всем доменам в зоне .ru устроить весёлую жизнь, просто запрашивая раз в сутки восстановления пароля. ;)
на 100%, сегодня тоже восстанавливал, на почту пришел мой пароль — оказалось что тупо в регистре ошибся когда пароль вспоминал.
Вполне возможно, что для восстановления генерируется временный пароль, salt-ом для которого может быть номер дороговора, etc.
Пароль пришёл в открытом виде. Значит и у хранителя он лежит в открытом виде. — Пример женской логики :)
А к примеру вариант шифрования на основе «отрывного календаря» скажем на тексте книги Толстова «Война и Мир» не рассматривали(?)
А к примеру вариант шифрования на основе «отрывного календаря» скажем на тексте книги Толстова «Война и Мир» не рассматривали(?)
Это шедевр невнимательного чтения заголовка. И текста. Но ничего страшного, не переживайте. Перепрочтите ещё раз.
Ваше?
— Причина: «Пароль: f33a1c7dd1»
Заключение: «Получается что у генерального регистратора в зоне .RU пароли хранятся в виде, поддающемся расшифровке, или просто в открытом виде.»
—
— Причина: «Пароль: f33a1c7dd1»
Заключение: «Получается что у генерального регистратора в зоне .RU пароли хранятся в виде, поддающемся расшифровке, или просто в открытом виде.»
—
Ох. Я даже не знаю, что на это ответить. Извините пожалуйста, вы совершенно правы. У меня странная женская логика на основании которой я делаю такие странные выводы.
Извините пожалуйста, я надеюсь, вас не сильно огорчит, что мы с вами мыслим разными логиками.
Извините пожалуйста, я надеюсь, вас не сильно огорчит, что мы с вами мыслим разными логиками.
Дайте ответ как получение вами сохранённого пароля связано с формой его хранения на сервере.
Покажите плиз цепочку умозаключений приведших к «пароли хранятся в виде, поддающемся расшифровке». Это очень интересно, так как выше я показал вам совсем другой вариант.
Покажите плиз цепочку умозаключений приведших к «пароли хранятся в виде, поддающемся расшифровке». Это очень интересно, так как выше я показал вам совсем другой вариант.
Вы правда считаете, что если пользователю по запросу восстановления пароля на почту падает его пароль, то на сервере пароль хранится в необратимой от декодирования (практически необратимой, полностью необратимой формы не существует) форме?
Или вам просто скучно и захотелосьпотроллить c кем-нибудь поспорить?
Или вам просто скучно и захотелось
Есть два варианта возможной ситуации: обратимая (или вообще чистая) форма и необратимая.
Всего лишь по той единственной информации, что они вернули пароль, _никак_ не следует какой вариант хранения на сервере. Вам просто _неоткуда_ это знать.
А делать заключение чисто из человеческой природы «раз отдали пароль, значит вообще валяется там в открытом виде...» нелогично. Вы гадаете и не более. Ни вы ни я и никто здесь не знает этого. Вы ВЕРИТЕ что там лежит в обратимой форме. ЗНАТЬ не можете. И ИНФОРМАЦИИ для достоверного ЗНАНИЯ что пароль в _обратимой_ форме — НЕДОСТАТОЧНО. Поэтому делать ваш ВЫВОД НЕЛОГИЧНО.
:)
Всего лишь по той единственной информации, что они вернули пароль, _никак_ не следует какой вариант хранения на сервере. Вам просто _неоткуда_ это знать.
А делать заключение чисто из человеческой природы «раз отдали пароль, значит вообще валяется там в открытом виде...» нелогично. Вы гадаете и не более. Ни вы ни я и никто здесь не знает этого. Вы ВЕРИТЕ что там лежит в обратимой форме. ЗНАТЬ не можете. И ИНФОРМАЦИИ для достоверного ЗНАНИЯ что пароль в _обратимой_ форме — НЕДОСТАТОЧНО. Поэтому делать ваш ВЫВОД НЕЛОГИЧНО.
:)
PS. вы ожидали что РУцентр хранит хеш а не пароль. в таком случае он не мог бы передать вам пароль, у него его просто не было бы. но факт передачи пароля не означает что на сервере он незакриптован. а вы походу знаете только два варианта хранения, отсюда и непонятки.
А вы, походу, незнакомы со значением слова «декодирование». Которое, надо сказать, в топике как-раз и упомянуто. Соответственно, пароль может быть хоть трижды «закриптован» (sic!) у nic.ru, но если он падает мне на почту открытым текстом, это означает, что сервер у nic.ru расшифровывает его перед тем, как отправить мне на мыло.
Что принципиально отличается от хранения на сервере хэшей. И уменьшает риск от возможного увода базы + ключей.
Что принципиально отличается от хранения на сервере хэшей. И уменьшает риск от возможного увода базы + ключей.
не понимаю, откуда плюсы?
расскажите пожалуйста, как еще на сервере может храниться пароль, крома как в виде хэша, зашифрованной строки и чистой строки?
расскажите пожалуйста, как еще на сервере может храниться пароль, крома как в виде хэша, зашифрованной строки и чистой строки?
Какая разница, лежат пароли в открытом виде или в открытом виде лежит пароль от паролей?
Ну заглушку нужно ставить заранее, чтобы база набралась. А гадким сотрудник чаще становится после (или сразу перед) увольнения. Опять же заглушку могут заметить — это риск. Так что риски от открытой (или декодируемой) базы паролей и риски от потенциально заглушки несопоставимы. А так в целом да согласен, нужно грамотно персонал подбирать.
Кстати, а вдруг (ну оптимист я), у них кодированием-декодированием паролей (а заодно и авторизацией) занимается отдельный жутко секретный сервер на котором работают только надежные люди. Если разделить хранение паролей и их кодирование-декодирование, так чтобы ни один человек не имел доступ к обоим частям, тогда пароли можно стибрить действительно только через «заглушку». Вот только сомневаюсь я что они пойдут на такие сложности (я еще и реалист).
Кстати, а вдруг (ну оптимист я), у них кодированием-декодированием паролей (а заодно и авторизацией) занимается отдельный жутко секретный сервер на котором работают только надежные люди. Если разделить хранение паролей и их кодирование-декодирование, так чтобы ни один человек не имел доступ к обоим частям, тогда пароли можно стибрить действительно только через «заглушку». Вот только сомневаюсь я что они пойдут на такие сложности (я еще и реалист).
максимум что можно сделать уводом пароля — обключить сайт на неделю. Восстановление пароля еще никто не отменял
Так я же не сказал что заглушка безвреда. Я сказал несопоставима. Авторизуются думаю сущие проценты от полного объема. И заглушка гораздо опаснее, заметят и сразу «под белы рученьки» на суд, ну не сразу, последят чуток, пока базу от заглушки сольешь. А полную базу с паролями еще докажи что сливал, это же разовая операция.
кагбэ если есть доступ на то, чтобы поставить заглушку в скриптах на боевом сервере — тут уже никакие технические ухищрения не помогут.
Чтобы понять происходящее я должен был прочитать раз 5 эту статью. Вы случайно не из чиновников будете???
Это что, я как-то запросил transfer-key для доменов у регистратора webnames (через переписку по email)
На что они меня попросили «чтобы удостовериться что я это я» прислать им последние 3 буквы моего пароля.
На что они меня попросили «чтобы удостовериться что я это я» прислать им последние 3 буквы моего пароля.
А у «в контакте» тоже восстановление пароля таким же способом работает: приходит юзерский пароль.
Вы явно что-то перепутали. У нас в ру-центре пароли хранятся в закрытом виде. Когда вы простите восстановить пароль, вам на e-mail высылается случайно сгенерированный пароль, да. Но в базе данных он хранится в виде какого-нибудь md5 (или sha1 или sha256...) хеша.
Если бы это было не так, то в письме пришел бы ваш старый пароль.
Если бы это было не так, то в письме пришел бы ваш старый пароль.
Посмотрите, пожалуйста на этот комментарий.
Каким образом, если при восстановлении пароля высылается случайно сгенерированный пароль, человеку на почту пришёл его старый пароль? Как интересно совпало.
Каким образом, если при восстановлении пароля высылается случайно сгенерированный пароль, человеку на почту пришёл его старый пароль? Как интересно совпало.
Прочитал все комментарии повнимательнее. Если вы уверены, что с генерацией паролей что-то не так, то пишите в саппорт, а не на Хабр.
А вот с этим — полностью согласен.
Сначала правильнее написать в саппорт, и уж потом, — если не реагируют, — то на хабр или ещё куда.
Сначала правильнее написать в саппорт, и уж потом, — если не реагируют, — то на хабр или ещё куда.
Я предполагаю, что подобная схема хранения паролей просто досталась в наследство со старых времён и ру-центр её не меняет в силу каких-то своих причин. И что прикажете писать в саппорт?
Ну, приказывать я точно не буду, но порекомендовать могу.
Это является «правилом хорошего тона» — сначала написать в саппорт о замеченных недостатках проекта, а потом уж — и в паблик можно.
Иначе получается просто гонка за понтами/известностью/кармой — не очень-то красиво, не находите? ;)
В любом случае, желаю удачи =)
Это является «правилом хорошего тона» — сначала написать в саппорт о замеченных недостатках проекта, а потом уж — и в паблик можно.
Иначе получается просто гонка за понтами/известностью/кармой — не очень-то красиво, не находите? ;)
В любом случае, желаю удачи =)
Вы действительно полагаете, что в саппорте ру-центра об этом не знают?
Я уверен, что официальный ответ ру-центра будет гораздо полезнее, чем наш разговор «ни о чём».
Да и пост был бы полнее с цитатой из ответа техподдержки, не находите?
Да и пост был бы полнее с цитатой из ответа техподдержки, не находите?
Отписала в саппорт техподдержки, раз уж мнение хабравчан на этом настояло.
Параллельно тут народ высказал идею, что с 1 января в России вступил в силу закон об защите персональных данных, и соответственно подобные данные ру-центр обязан шифровать по ГОСТу.
Параллельно тут народ высказал идею, что с 1 января в России вступил в силу закон об защите персональных данных, и соответственно подобные данные ру-центр обязан шифровать по ГОСТу.
Была бы еще одна лулза :) С ней пост явно смотрелся бы интереснее :)
Я бы написал так:
Здравствуйте, меня зовут… договор номер…
Меня сильно беспокоит, что… Скажите, пожалуйста, действительно ли пароли хранятся в открытом виде и если это так, то какими обстоятельствами вызвано и планируется ли изменить ситуацию в будущем?
С уважением.
[тут ссылка на twitter и профиль в habrahabr]
Здравствуйте, меня зовут… договор номер…
Меня сильно беспокоит, что… Скажите, пожалуйста, действительно ли пароли хранятся в открытом виде и если это так, то какими обстоятельствами вызвано и планируется ли изменить ситуацию в будущем?
С уважением.
[тут ссылка на twitter и профиль в habrahabr]
Может быть в закрытом от вас лично :) Но описанный факт имеет место быть. договор nic-d из серии 85XXX.
Это, извините, враньё.
Мне уже два года при восстановлении пароля приходит один и тот же пароль — тот, который у меня был изначально.
Пароль я восстанавливал больше десяти раз за всё это время — он хранится дома на компьютере, а мне срочно нужно было получить доступ в свой личный кабинет с работы. Дома я специально сравнивал пароль, который мне пришёл по почте с тем, который у меня записан — один в один.
Так что я даже и не знаю, из какого это вы «у нас в ру-центре» ;)
Мне уже два года при восстановлении пароля приходит один и тот же пароль — тот, который у меня был изначально.
Пароль я восстанавливал больше десяти раз за всё это время — он хранится дома на компьютере, а мне срочно нужно было получить доступ в свой личный кабинет с работы. Дома я специально сравнивал пароль, который мне пришёл по почте с тем, который у меня записан — один в один.
Так что я даже и не знаю, из какого это вы «у нас в ру-центре» ;)
Тут проскочила информация инсайд, о том что, цитирую дословно: «в операторском интерфейсе у ру-центра можно запросить анкету клиента вместе с техническим и административным паролями».
>> Так что я даже и не знаю, из какого это вы «у нас в ру-центре»
Называется «Департамент информационно-аналитических исследований».
>> Это, извините, враньё…
Вообще вы заставили меня призадуматься. Я точно знаю, что в случае с хостингом, пароли от баз данных и ssh всегда генерируются случайно, в админке нет даже возможности их сменить на собственный.
Если вы уверены, что пароли от самих учетных записей хранятся в открытом виде, жалуйтесь в саппорт. Не вижу причин, мешающих решить эту проблему.
Называется «Департамент информационно-аналитических исследований».
>> Это, извините, враньё…
Вообще вы заставили меня призадуматься. Я точно знаю, что в случае с хостингом, пароли от баз данных и ssh всегда генерируются случайно, в админке нет даже возможности их сменить на собственный.
Если вы уверены, что пароли от самих учетных записей хранятся в открытом виде, жалуйтесь в саппорт. Не вижу причин, мешающих решить эту проблему.
перепутали скорее всего вы
я только что запросил восстановление пароля, мне прислали его в оригинале
я только что запросил восстановление пароля, мне прислали его в оригинале
Что за сыр-бор?
Ну генерится пароль не чаще чем N раз в сутки. И это правильно, если хорошо подумать.
Ну получается пароль не kiska21, а f33a1c7dd1.
В чем проблема-то? Откуда истерика?
Ну генерится пароль не чаще чем N раз в сутки. И это правильно, если хорошо подумать.
Ну получается пароль не kiska21, а f33a1c7dd1.
В чем проблема-то? Откуда истерика?
Я не знаю, где вы увидели истерику вообще. Успехов в знании того, что где-то хранится ваш пароль плэйнтекстом. ;)
P.S. Я бы вам порекомендовала пароли с kiska* поменять на что-то другое. ;)
P.S. Я бы вам порекомендовала пароли с kiska* поменять на что-то другое. ;)
Меня абсолютно не волнует где и как хранятся мои пароли, т.к. я пользуюсь надежными хостерами, и имею отдельный сложный пароль для каждого сайта/сервиса, в том числе и для хабра.
А вам я бы посоветовал выпить валерьянки и поспать. Не украдут ваш замечательный сайт. Знаете анекдот про неуловимого Джо? :)
А вам я бы посоветовал выпить валерьянки и поспать. Не украдут ваш замечательный сайт. Знаете анекдот про неуловимого Джо? :)
На самом деле проблема в том, что этот пароль, который приходит на почту в открытом виде — может использоваться для кучи других сервисов. И после этого письма, в идеале, надо вспомнить все сервисы, где был такой пароль и поменять его везде.
Любое шифрование имеет обратную сторону — да, безопаснее, но зная шифр узнать пароль на раз два можно.
Из хеша, того же популярного md5 пароли восстанавливаются спокойно.
Есть простой выход: приписывать к зашифрованному паролю префикс или постфикс, всегда разный, но тоже обсчитываемый по алгоритму, и даже если ваша база утечет и злоумышленник будет знать шифр, расшифровав пароли с дописанными постфиксами и префиксами доступа он никуда не получит — это более надежный вариант, но увы тоже поддающийся взлому.
Из хеша, того же популярного md5 пароли восстанавливаются спокойно.
Есть простой выход: приписывать к зашифрованному паролю префикс или постфикс, всегда разный, но тоже обсчитываемый по алгоритму, и даже если ваша база утечет и злоумышленник будет знать шифр, расшифровав пароли с дописанными постфиксами и префиксами доступа он никуда не получит — это более надежный вариант, но увы тоже поддающийся взлому.
У меня здесь обычный домашний ПК.
Я ваш пароль буду вычислять долго — и мне это не надо. Я имел в виду, если озадачиться целью получить — получите.
Я ваш пароль буду вычислять долго — и мне это не надо. Я имел в виду, если озадачиться целью получить — получите.
P_r_i_m_a_t, я написал что: «я спокойно» или же как вы правильно подметили, я не говорил, что это делаю спокойно Я. Простите, если я нечетко ранее выразился.
Повторяю: озадачившись целью, подключив все вычислительные ресурсы пароли из md5 можно восстановить.
Повторяю: озадачившись целью, подключив все вычислительные ресурсы пароли из md5 можно восстановить.
Из хеша, того же популярного md5 пароли восстанавливаются спокойно.
Бла-бла-бла…
Восстановите мне, пожалуйста, «спокойно» пароль по вот этому MD5: 2895aec108285da52d09d2efbfe90095?
Ну Вы бы хоть намекнули сколько там символов, какой алфавит, а то человек загрузит счас суперкомпьютер вашим паролем, а через 50 лет выяснится что там 100 знаков и алфавит — все что вы на клавиатуре нашли, да еще и посолили несколько раз :)
Человек бахвалится тем, что он может, или по крайней мере, знает, как «спокойно», «на раз два» восстановить пароль по MD5. Уверен, он справится :D
Пожелаем ему удачи, и до встречи через 50 лет =)
Пожелаем ему удачи, и до встречи через 50 лет =)
Где вы все видите что это «Я» спокойно их восстанавливаю ?!
моя мысль была такова: при желании, всё восстановима.
если бы я имел такие ресурсы, чтобы быстро и спокойно восстанавливать — я бы так и написал " Я знаю способ быстрой дешифровки" — я такого не писал, прошу не читать такой фразы между строк. Там такого нет.
моя мысль была такова: при желании, всё восстановима.
если бы я имел такие ресурсы, чтобы быстро и спокойно восстанавливать — я бы так и написал " Я знаю способ быстрой дешифровки" — я такого не писал, прошу не читать такой фразы между строк. Там такого нет.
Ну восстановите из md5 16 значный пароль не содержащий слов, пусть будет алфавит латиница (верхний и нижний регистр) и цифры. Вы как я понимаю про буртфорс говорили?
А по поводу вашего алгоритма (вы ведь об обратимом шифровании говорили?) если сопрут базу, скорее всего сопрут и алгоритм, а значит толку от соли не будет. К тому же принцип генерации соли можно попытатся получить зарегистрировав несколько своих аккаунтов и потом проанализировав пароли. Так что я не вижу особой надежности вашего способа.
Или вы про соль при необратимом шифровании говорили (тот же md5), тогда соль да, хорошо, лучше чем чистый md5, тут никто не спорит.
А по поводу вашего алгоритма (вы ведь об обратимом шифровании говорили?) если сопрут базу, скорее всего сопрут и алгоритм, а значит толку от соли не будет. К тому же принцип генерации соли можно попытатся получить зарегистрировав несколько своих аккаунтов и потом проанализировав пароли. Так что я не вижу особой надежности вашего способа.
Или вы про соль при необратимом шифровании говорили (тот же md5), тогда соль да, хорошо, лучше чем чистый md5, тут никто не спорит.
не надо путать шифрование (aes, blowfish, idea...) с криптографическим хэшированием (md5, sha256, ...)
> приписывать к зашифрованному паролю префикс или постфикс
Вы имете в виду к «шифруемому»?
Вы имете в виду к «шифруемому»?
У вас есть пароль: password
В MD5: 5f4dcc3b5aa765d61d8327deb882cf99
к паролю в MD5 добавляем по заданному алгоритму определенный префикс и постфикс.
Если пользователь захочет восстановить свой исходный пароль, система ему сама, зная алгоритм добавления префиксов и постфиксов выдаст его начальный пароль.
Я согласен что метод не гениален и не супер как защищает, это лишь одна дополнительная ступень в защите. Поверьте, так сложнее расшифровать пароль.
В MD5: 5f4dcc3b5aa765d61d8327deb882cf99
к паролю в MD5 добавляем по заданному алгоритму определенный префикс и постфикс.
Если пользователь захочет восстановить свой исходный пароль, система ему сама, зная алгоритм добавления префиксов и постфиксов выдаст его начальный пароль.
Я согласен что метод не гениален и не супер как защищает, это лишь одна дополнительная ступень в защите. Поверьте, так сложнее расшифровать пароль.
У любого хеша бывают коллизии — на то он и хеш. Количество строк бесконечно, а количество различных MD5 — конечно, т.к. у него фиксированная длина. Значит по MD5 хешу восстановить пароль однозначно невозможно теоретически!
Такая же фигня у Национального оператора электрозвъязку.
Ух ты, оказывается можно было пост на этом замутить :)
Ух ты, оказывается можно было пост на этом замутить :)
Автор, расскажите пожалуйста, что страшного в хранении паролей в явном виде?
Разве я сказала, что это страшно? Я написала о том, что меня удивило, что данные хранятся таким образом. ;)
Ну вообще-то считается, что это плохо. Если кто-то доберется до базы данных, то получит пароли всех пользователей (а их там ой как много). Правда, имея доступ к БД пароли уже не нужны — можно перегонять и продлевать домены без паролей. Но кто знает, вдруг пароль подойдет к постовому ящику или Яндекс.Деньгам…
«Правда, имея доступ к БД пароли уже не нужны — можно перегонять и продлевать домены без паролей» — можно только недолго, пока не заметят и не поднимут дамп. А с паролями совсем другое дело.
Не вижу разницы, как это делать — через админку или БД. Вероятность спалиться одна и та же — зависит от объема внесенных изменений.
Как только доступ к базе прикроют то все, больше ничего не изменишь.
Если есть пароли менять можно долго. Ну узнает контора что базу сперли, ну разошлет сообщения всем клиентам (в лучшем случае, а скорее всего долго замалчивать будет) о том что стоит пароли поменять (простите мы лоханулись). Но ведь не все ринутся менять сразу, опять же почту пока прочитают, а некоторые вообще забьют.
Если получили доступ к базе — веселья на пару часов максимум — пока не начнут звонить клиенты. Если получили пароли то день минимум можно веселится (если жестко не закроют авторизацию) а для некоторых аккаунтов (о которых владельцы уже и не помнят, или в отпуске, или письмо не дошло) значительно дольше.
Если есть пароли менять можно долго. Ну узнает контора что базу сперли, ну разошлет сообщения всем клиентам (в лучшем случае, а скорее всего долго замалчивать будет) о том что стоит пароли поменять (простите мы лоханулись). Но ведь не все ринутся менять сразу, опять же почту пока прочитают, а некоторые вообще забьют.
Если получили доступ к базе — веселья на пару часов максимум — пока не начнут звонить клиенты. Если получили пароли то день минимум можно веселится (если жестко не закроют авторизацию) а для некоторых аккаунтов (о которых владельцы уже и не помнят, или в отпуске, или письмо не дошло) значительно дольше.
Если некто получил доступ к базе, то это само по себе полный конец обеда, разве нет? Там и помимо паролей информации более чем достаточно, причём реальной (типа паспортных данных).
А к 90% почтовых ящиков и так подходят пароли из набора 12345, qwerty, gfhjkm и т. д.
А к 90% почтовых ящиков и так подходят пароли из набора 12345, qwerty, gfhjkm и т. д.
Гуглить религия не позволяет? Тема хранения паролей в открытом виде миллион раз обсосана, наверное уже на всех языках мира. Но все равно находятся те, кто считает что лучше потратить чужие 20 минут своим тупым запросом «обоснуй\расскажи» чем набрать запрос в поисковике и за 5 минут прочитать все уже разжеванное
Ru center ведь не единственные, кто таким образом хранит и восстанавливает пароли. И ничего, все живы, все довольны. Шифрование сегодня это позволяет.
Но тут встает проблема защиты от компрометации ключа, что за собой влечет еще ряд мероприятий, и т.д.
Даже самая надежная система надежна до тех пор, пока кому-то ну очень сильно не захочется в нее попасть. А учитывая, что она подключена к сети…
Но тут встает проблема защиты от компрометации ключа, что за собой влечет еще ряд мероприятий, и т.д.
Даже самая надежная система надежна до тех пор, пока кому-то ну очень сильно не захочется в нее попасть. А учитывая, что она подключена к сети…
Парни, вы не поверите :)
В своё время я для двух доменов поменял контактный email и ns-сервера ПРОСТО ПОЗВОНИВ регистратору!
Девочка все сделала за 5 минут, никак меня не авторизовав.
Имя героя назову- mtw.ru (год назад у этих героев было 14999 доменов по данным stat1.ru).
Домены были не мои, а моего клиента. После этого опуса сразу все перевёл в руцентр.
Хотя знаю случаи, когда и у руцентра их уводили, но более серьезными способами — если домен зареган на юрлицо.
У «Физиков» увести сложнее, поэтому рекомендую регистрировать домены на физлицо (например, на имя собственника), а не на организацию.
P.S. Где-то даже запись звонка в mtw.ru валяется. И хостинг у них паршивый :(
В своё время я для двух доменов поменял контактный email и ns-сервера ПРОСТО ПОЗВОНИВ регистратору!
Девочка все сделала за 5 минут, никак меня не авторизовав.
Имя героя назову- mtw.ru (год назад у этих героев было 14999 доменов по данным stat1.ru).
Домены были не мои, а моего клиента. После этого опуса сразу все перевёл в руцентр.
Хотя знаю случаи, когда и у руцентра их уводили, но более серьезными способами — если домен зареган на юрлицо.
У «Физиков» увести сложнее, поэтому рекомендую регистрировать домены на физлицо (например, на имя собственника), а не на организацию.
P.S. Где-то даже запись звонка в mtw.ru валяется. И хостинг у них паршивый :(
Хмм… Полученый пароль — явно кусок Guid'а (очень характерные последовательности). Т.е. все же ИМХО Вам сгенерили новый пароль (если только вы сами не используете такой метод для генерации своих паролей, но в таком случае вы бы заметили эту особенность), но сделали это достаточно халатным способом, т.к. во-первых, хоть генерация гуида и уникальна, но достаточно предсказуема и легко поддается брутфорсу (особенно если знать как создается сам гуид, да и тупо перебором — там словарь всего в 16 символов получается.
Вообще в таком случае ру-центр в сильно опасной ситуации, т.к. теперь можно запрашивать смену пароля а новый тупо перебирать — очень слабенький новый пароль получается
PS Мы тоже от лени в некоторых случаях генерим пароль таким способом, но только на несущественные сервисы и с рекомендацией пользователю о смене пароля на более стойкий.
Вообще в таком случае ру-центр в сильно опасной ситуации, т.к. теперь можно запрашивать смену пароля а новый тупо перебирать — очень слабенький новый пароль получается
PS Мы тоже от лени в некоторых случаях генерим пароль таким способом, но только на несущественные сервисы и с рекомендацией пользователю о смене пароля на более стойкий.
Вы думаете эту машину «RU-CENTER» кто-то возьмется переписывать? Этот регистратор писался десятилетие разными людьми, поэтому их интерфейс топчится на месте и не ожидается революций в удобстве и управлении.
Переписка с хостингом 1gb
1Gb.ru (19:14:57 16/11/2009)
Здравствуйте.
1Gb.ru (19:16:26 16/11/2009)
Это только мы вам можем сделать, скажите логин от кабинета и первые три символа пароля.
MindMap (19:18:06 16/11/2009)
логин XXXXXX пароль 093
Возможно так сделать только для домена XXXXX .ru а на всех остальных доменах оставить как есть.
MindMap (19:18:27 16/11/2009)
З, Ы, ВЫ ХРАНИТЕ ПАРОЛИ В ОТКРЫТОМ ВИДЕ?????? =-O
1Gb.ru (19:19:34 16/11/2009)
Ну что вы, только ваш ;)
MindMap (19:19:57 16/11/2009)
Не смешно :(
MindMap (19:21:05 16/11/2009)
Что будет если непонятно кто добереться до этой базы?
Что будет если один из Ваших специалистов уволиться и заберет с собой базу паролей???
1Gb.ru (19:22:16 16/11/2009)
Вы сами знаете что будет.
MindMap (19:23:57 16/11/2009)
Я очень растроен :(
1Gb.ru (19:14:57 16/11/2009)
Здравствуйте.
1Gb.ru (19:16:26 16/11/2009)
Это только мы вам можем сделать, скажите логин от кабинета и первые три символа пароля.
MindMap (19:18:06 16/11/2009)
логин XXXXXX пароль 093
Возможно так сделать только для домена XXXXX .ru а на всех остальных доменах оставить как есть.
MindMap (19:18:27 16/11/2009)
З, Ы, ВЫ ХРАНИТЕ ПАРОЛИ В ОТКРЫТОМ ВИДЕ?????? =-O
1Gb.ru (19:19:34 16/11/2009)
Ну что вы, только ваш ;)
MindMap (19:19:57 16/11/2009)
Не смешно :(
MindMap (19:21:05 16/11/2009)
Что будет если непонятно кто добереться до этой базы?
Что будет если один из Ваших специалистов уволиться и заберет с собой базу паролей???
1Gb.ru (19:22:16 16/11/2009)
Вы сами знаете что будет.
MindMap (19:23:57 16/11/2009)
Я очень растроен :(
Я конечно далеко не спец в безопасности но!
Берём флешку со злобным файлом /dev/urandom > /dev/sda1 и используем её как пароль… прозрачно файл с паролями разорхивируется находится нужный домен возвращается проль. Если запросов более чем ынцать то блочится ip или сотрудник ну это на вскидку и после много пива…
Берём флешку со злобным файлом /dev/urandom > /dev/sda1 и используем её как пароль… прозрачно файл с паролями разорхивируется находится нужный домен возвращается проль. Если запросов более чем ынцать то блочится ip или сотрудник ну это на вскидку и после много пива…
совсем недавно была новость про скидки на dreamhost.com
так вот у них пароли тоже хранятся в открытом виде (меня попросили прислать последние 4 символа для авторизации)
так вот у них пароли тоже хранятся в открытом виде (меня попросили прислать последние 4 символа для авторизации)
Детский сад-ромашка (да, да минусуйте меня за эти слова). Какая разница, как зашифрован пароль? Вы хотите, чтобы все было необратимо? Пожалуйста, ради бога. Мне тогда, как недовольному сотруднику, достаточно поменять ваш контактный e-mail, на свой и запросить восстановление пароля. Вас тревожит переписывание dns? А супер-пароль спасет вас, если я перерегистрирую ваш домен на свой паспорт прямо в базе? Может номер паспорта тоже необратимо шифровать?
Вы как-то очень однобоко подходите к проблеме безопасности.
Вы как-то очень однобоко подходите к проблеме безопасности.
И вот такие горе IT специалисты создают горе IT продукты, которые валятся с первого же пинка :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
RU-CENTER хранит пароли в открытом/декодируемом виде?