Список сайтов, которые хранят пароли открытым текстом

    В это трудно поверить, но около 30% сайтов держат пароли своих пользователей в незащищённом виде. Если кто-то проникнет к ним в систему, то все пароли будут перед ними открытым текстом.

    Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.

    Как известно, многие люди склонны использовать одинаковые пароли для различных сервисов. Если в одном месте случилась утечка данных, то этот пароль может подойти и к его почтовому ящику, и к сервису онлайн-банкинга.

    Авторы «чёрного списка» Plain Text Offenders уверены, что бороться с такой беспечностью веб-разработчиков можно только с помощью общественного порицания. На этом ресурсе ежедневно публикуются сайты, которые, возможно, хранят пароли в открытом виде.

    Если вы сами обнаружили такой неприглядный сайт — присылайте скриншот с доказательством (например, письмо от них с паролем в открытом виде), и его добавят в список.

    Вообще-то, если сервис присылает вам письмо с вашим паролем, это не обязательно означает, что они хранят их в открытом виде. Но, во-первых, пересылка такой секретной информации в открытом виде через открытые сети сама по себе достойна порицания.

    Во-вторых, если сервис присылает пароли по почте открытым текстом, значит где-то на серверах они тоже хотя бы временно хранятся открытым текстом. Возможно также, что имеются бэкапы или почтовый архив, где эти данные хранятся постоянно. То есть даже если они и хэшируют пароли, но хранение такого почтового архива нивелирует все защитные мероприятия.

    Ещё один «чёрный список» сайтов, хранящих пароли в открытом виде, ведётся здесь. Там же можно найти расширение PasswordFail для Chrome, которое будет сообщать, если вы зашли на какой-то сайт из списка.

    Для надёжной защиты паролей рекомендуется использовать только bcrypt. Дело в том, что на современных числодробилках CUDA можно собрать относительно недорогой кластер, который не только будет зарабатывать bitcoin на 10–20 долларов в сутки, но и перебирать до 700 млн хэшей в секунду, так что обычный хэш вроде MD5 или SHA1 тоже нельзя считать надёжной защитой.
    Поделиться публикацией

    Комментарии 55

    • НЛО прилетело и опубликовало эту надпись здесь
        +1
        keepassX рекомендую, ну или хотя бы в архив с паролем положите.
          +8
          Домен plaintextoffenders.com был зарегистрирован 5 апреля… и всего 9 сайтов в базе.
          Не рановато для «анонса», alizar? :)
          А сам могу к списку таких сайтов отнести еще и SuperJob.ru
          –4
          >Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся

          Еще обидней будет тем, у кого пароли не уникальные.
            –3
            Об этом в топике написано)
            Как известно, многие люди склонны использовать одинаковые пароли для различных сервисов. Если в одном месте случилась утечка данных, то этот пароль может подойти и к его почтовому ящику, и к сервису онлайн-банкинга.
              +2
              Да, они еще используют один и тот же ник, один и тот же реалнейм для этого ника. Как настоящий коммунист, следующие два аккаунта на левых ресурсах зарегистрирую с никами из этой темы (аватарки и профили, само собой, тоже будут «вперемешаны»).
                +1
                P.S. Всего лишь практическая шутка. Не минусуйте :)
          • НЛО прилетело и опубликовало эту надпись здесь
              +2
              вместо пароля лучше присылать одноразовую ссылку для входа, где юзер сам введёт пароль который ему удобен
                +6
                Убивать за такое на месте. Я, как пользователь, хочу ввести пароль и начать пользоваться сервисом сразу, а не ждать непонятной ссылки на почту
                  0
                  А я как пользователь не хочу, чтобы мой пароль приходил на почту, которая сам по себе ненадежна, так что видимо мы никогда не придем к консенсусу :)
                    +2
                    А стандартная ситуация, когда ввел пароль на сайте и он не пришел на почту уже не рассматривается?
                      0
                      Хех, чего-то я видимо перетупил, я имел в виду момент восстановления пароля, при регистрации само собой вообще нафиг ничего не надо на почту :)
                0
                параноики негодуе
                  0
                  А какой смысл присылать мне на почту пароль, который я сам только что ввел вручную дважды? Чтобы за 20 секунд я его внезапно не забыл?
                    +8
                    Чтобы потом можно было найти пароль на почте когда когда забыл его.
                      +1
                      Храню пассы в черновиках на сообщение «вы зарегистрировались у нас, пароль не покажем». Так как логин на форум каких-нибудь любителей мучать линукс особых мер безопасности не заслуживает.
                        +2
                        "-1? да я еще сканы банковских pin-конвертов храню!"
                        0
                        когда мой ящик сломали, там как раз такое письмо лежало с паролем открытым текстом. ах как я радовался-то :)
                          0
                          Сравните:

                          1. пароль лежит в почте в открытом виде на протяжении нескольких месяцев/лет на случай «если вдруг забуду»
                          2. пароль восстанавливается только если был забыт путём присылания на почту одноразовой ссылки для смены пароля

                          Какой вариант вам больше нравится?
                          +1
                          Да. некоторые не дважды спрашивают — защита от опечатки, а некоторые вообще сами генерят и высылают.
                            +3
                            Вот если сам сгенерил и выслал — это другой вопрос, но большинство, к сожалению, просят ввести пароль дважды, а затем сразу шлют его в открытом виде на почту.
                            +1
                            У меня небольшая история по этому поводу. Нетривиальная, но какой-нибудь 1% случаев, когда нужно посмотреть на пароль, что ввёл во время регистрации, покрывает.
                            Вчера искал решение для простого удалённого управления компьютером. Среди прочего наткнулся на gotomypc.com. Ткнул в 30дневный триал, во время регистрации столкнулся с дурацким требованием — необходимостью использовать сложный пароль. Набрал дребедень всякую и скопировал в буфер обмена, с последующей целью перенести её в менеджер паролей. Но вот на следующем этапе регистрации попросили данные кредитки. Подумал и послал их нафиг.
                            Часом позже заглянул в почту — увидел от них письмо с предложением попробовать триал без ввода данных кредитки, согласился. По ссылке из письма сразу меня автоматически авторизировало. Но вот пароля к этому моменту я уже не помнил и не отказался бы от того, что-бы в следующем письме они мне его показали.
                            А теперь придётся использовать всякие «восстановления пароля», если ещё захочу их сервис попробовать ещё раз.
                              +1
                              Ничего страшного в использования восстановления пароля нет. Я после переустановки системы или на новом компе так в скайп всегда захожу.
                                0
                                Дело не в том, что страшно, а в том, что лень. Они сами создали мне проблему, потребовав что-бы я использовал сложный пароль, который я почти сразу же «забыл».
                              +2
                              Я обычно генерю пароль, вставляю его в письмо вместе с логином-паролем и ссылкой на сайт. Хеширую и солю пароль. Отправляю письмо. Пароль в открытом виде сбрасывается, хранится соленый хеш и соль.
                              Чем это удобно:
                              — У пользователя будет письмо с напоминанием что он у нас зарегистрировался.
                              — Пользователь может копипастить регистрационную информацию в KeePass
                              — Есть возможность распечатать и отдать секретарю
                              — Пользователь может хранить письмо в папке «Регистрации» (не безопасно но так делают)

                              +1
                              Да, а если, как и сказано в топике, они хранят не только хэш пароля, но и архив отправленной почты?
                              • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              700млрд эт фигня ) Последний рекорд на BarsWF — 12трлн MD5 в секунду, а абсолютный рекорд — 45.1 трлн :-)

                              3.14.by/forum/viewtopic.php?f=8&t=1371
                                +1
                                ЧЕРДДДД!!! Удалите мой камент, это жалкие миллиарды, а там кластер :-(
                                  +1
                                  Автор ошибся, в ссылке идет речь о 700 млн. Ну, а в вашей ссылке, насколько я понимаю, под биллионом подразумевается миллиард.
                                    +2
                                    Да. Тогда снимаю пепел со своей головы, 12 и 45 млрд ключей в секунду есть :-)
                                  +3
                                  Статья жутко однобока. Ах, мой пароль сохранили в плейнтексте… ужас, да. Вдруг недобросовестный сотрудник хостера базу дампнет.

                                  Админ сайта с посещаемостью более 500 человек/день имеет доступ ко всем моим данным, включая личную переписку, только потому что может модифицировать любой файл.
                                  При этом, каждому собеседнику на сайте приходится обьяснять на пальцах, почему я требую подписывать сообщения и в идеале переходить на секурный (с теми же подписями) джаббер.
                                    +3
                                    Ну вот нашли о чем беспокоиться — здравствуй паранойя.
                                      +1
                                      Есть конечно реально важные ресурсы, как google mail или аккаунт к яндексу. Но на многих ресурсах регистрируюсь и захожу один, два раза, только по тому, что мне нужна там ссылка, нужно что то прочитать и т.д., а это без регистрации невозможно. В этой ситуации я вообще не беспокоюсь о пароле на этих ресурсах и мне проще было бы если бы пароль приходил на мыло. Безопасность не должна превращаться в параною. Да а так я конечно использую робоформ.
                                        0
                                        А есть второстепенные ресурсы, которые могут повредить важным.
                                        Например Fring хранит и высылает пароль в открытом виде, а поменять его можно только через саппорт.
                                        При этом для использования программы в неё можно вводить google, yahoo, msn, twitter пароли. Если они основной пароль не защищают, то наверняка и остальные под угрозой.
                                        +1
                                        >Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.

                                        Продвинутым пользователям пофиг как они хранятся, у них все пароли разные и случайные. Юзайте менеджеры паролей.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            Зачем минисовать, каждый имеет право делать как ему удобнее. Мне удобнее иметь менеджер паролей, не запускать трояны и не подпускать злоумышленников к рабочему месту. За последние 5 лет у меня ни разу не уводили пароли.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +3
                                            Обратите внимание на формулировку из топика:
                                            На этом ресурсе ежедневно публикуются сайты, которые, возможно, хранят пароли в открытом виде.


                                            Возможно??? А если какой-то из сайтов занесен туда случайно. Хранит он пароли в защищенном виде, но по каким-то причинам попал в блеклист. В случае общественного порицания это грозит сайту, быть может, потерей репутации и посетителей.

                                            Если уж кто-то из составителей такого списка собрался кого-то осуждать, то, простите за французский, «за базар должен отвечать» ))

                                            К слову на сайте plaintextoffenders есть фраза:
                                            Here we put websites we believe to be practicing this to shame.


                                            Собственно, не очень корректно это. Хотя, быть может, что в этом есть )
                                              0
                                              А где список сайтов?
                                                0
                                                Общество без доверие — лишь голодная стая волков, только мяса пока всем хватает.
                                                  +1
                                                  Сейчас добавлю паранои… Многие жаббер-ресурсы просто вынуждены хранить пароли открытым текстом. В xmpp есть очень популярный и довольно безопасный межанизм авторизации, который для своей реализации требует, чтобы сервер знал чистый пароль. Клиент может у себя сохранять хеш, но серверу требуется знать пароль.
                                                    0
                                                    А такая ситуация не только с xmpp. либо безопасная авторизация, но нужно хранить пароль в открытом виде. либо хранить хеш, но передавать прийдётся открытым текстом. для второго случая поможет ssl.
                                                    +1
                                                    Объясните, пожалуйста, почему в статье про bcrypt по ссылке говорится о бесполезности соли? Ведь если хацкер спер md5 хеш, расшифровал его, то он же не сможет войти на сайт, ведь он расшифровал соленый, а при аутентификации он будет посолен еще раз и хеши не совпадут?
                                                    /что то есть захотелось../
                                                      0
                                                      Как я понял, там подразумевается, что раз уперли базу хэшей, то и коду, где зашита соль доступ тоже имеется.
                                                        0
                                                        Ну это совсем не факт: получение доступа к БД не означает доступ и к коду (хотя такие ситуации возможны). Кроме того, да, bcrypt — это круто, но, как верно говорит vkramskikh, не однозначно хорошо.

                                                        Кстати, а можно соление перенести в логику БД, в хранимые процедуры? И дать скрипту доступ на чтение таблиц (видов), но не давать на просмотр и редактирование процедур.
                                                      0
                                                      Для надёжной защиты паролей рекомендуется использовать только bcrypt.

                                                      Using a work factor of 12, bcrypt hashes the password yaaa in about 0.3 seconds on my laptop. MD5, on the other hand, takes less than a microsecond.

                                                      Используйте bcrypt, и организация DoS-атаки на ваш сервис будет легка и непринужденна
                                                        0
                                                        30% хранят в открытом, еще неверно с 30% хранят в хешированом с ключом забитым в коде и при полном взломе от этого хеширования толку мало.
                                                        Помню пару лет назад была всеобщая обеспокоенность тем, что, кажется, mail.ru после «Забыл пароль» присылал пароль на почту, то есть даже не меняя его, что весьма печально.

                                                        Сам храню комплексным хешированием с sha1.
                                                          0
                                                          «Франция делает хешированные пароли незаконными».

                                                          yro.slashdot.org/story/11/04/07/0212222/France-Outlaws-Hashed-Passwords
                                                            +1
                                                            Они требуют год хранить инфу о каждом пользователе, включая пароль, и предоставлять по требованию государственных учрежденний, включая налоговую инспекцию. Кроме как «французы — идиоты» тут сказать нечего.
                                                              0
                                                              В чем проблема шифровать пароль асимметричным ключиком и скидывать куда-душе-угодно?
                                                              А для авторизации использовать соль-хеш.

                                                              Это, конечно, добавит теоретическую возможность для атаки с учетом коллизий в случае, если будут утянуты обе базы и взломом займутся криптологи-математики, причем толпами, но…
                                                            0
                                                            Странно что никто не вспомнил сайт vkontakte.ru
                                                            150 млн паролей пользователей хранимых в открытом виде (возможно зашифрованном но с вомзможностью получения исходного пароля, но не хэшированном)
                                                            навскидку у 70% пользователей пароль совпадает с паролем почты.
                                                              0
                                                              Еще один проект в копилку был недавно анонсирован в Full Disclosure и также повлек за собой обсуждение проблемы.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое