Оригинальное восстановление паролей на wikimapia.org

    Недели две назад, решил зайти из под своего аккаунта на сайт wikimapia.org, чего не делал уже месяца три-четыре.

    И как ни прискорбно, забыл пароль. «Ну, не беда...», подумал я, и в меню выбрал Восстановление пароля.

    К моему огорчению, пароль на почту не пришёл и желание посещать сайт на тот момент совершенно отпало.

    Несколькими неделями позже (то есть сегодня), надеясь на то, что баг уже пофиксили, я решил еще раз попытать счастья и восстановить пароль. Опять, как, наверное, и следовало бы ожидать — безрезультатно.

    При этом я перепробовал несколько пришедших на ум вариантов, ни один не подошёл и я решил не заводить новый аккаунт, а именно восстанавливать старый.



    С этой целью я накатал саппорту письмо, следующего содержания:

    Hi there! :)

    Don't know why, but almost two weeks I can't restore my password in your project.
    My nickname there is: smileart
    E-mail: smileart@*.ru (as you see)

    Please, fix this trouble.


    Представьте же моё удивление и шок, когда мне ответили приблизительно так:

    Alexandre Koriakine

    Hello, you pas: passwordblablaздесь был мой пароль
    Good luck!


    Видимо создатели Викимапии не слышали о хешах и конфиденциальности личной информации. Хорошо, что пароль оказался действительно уникальным (потому-то я его и забыл) и использовался только на их сайте, не то бы пришлось и правда менять пароль на куче других проектов…

    Не знаю, как считаете вы, дорогие читатели, а как по мне, то в наше время, это просто недопустимо со стороны владельцев проекта!
    Поделиться публикацией

    Комментарии 26

      +1
      Хм, действительно, «хорошая» система восстановления пароля… Такая же стояла на mail.ru лет 5 назад, когда я забыл пароль и таким же способом мне его «восстановили». :)
        +2
        Зато какой отличной сапорт! Все для людей)

        А если серьезно то идиотизм. Хотя может они из хеша его каким то образом достали… Подбирали там по базам...)
          +2
          А не проще ли было сгенерить новый любой, чем играться бы с радужными таблчками???
          Нееет, они просто взяли plain text из базы и прислали мне… :(
            +1
            Проще...) Но это ж не забота о пользователе получится! Вам бы пришлось менять пароль в ручную!

            Я думаю найдутся люди теперь, которые всю эту базу хакнут. Так что пароль там я уже сменил, от греха.
              0
              :)) Какой ужас, я бы так перетрудился :)) Причём, я тоже, и так, его сменил вручную!

              А если хакнут, то, ИМХО, правильно сделают! Проект отличный, но такого я от них не ожидал… Вот взломают — будет им наука, в другой раз потрудятся и добавят пару строк в код…
              0
              Задумался есть ли смысл хэшировать пароль ради хэша или как защита от слива базы пользователей..?
              — Если админу понадобится, то он и не зная вашего пароля поправит все что угодно.
              — Пароль шлется на сервер как есть без всяких выкрутасов.
              Хэш, я считаю нужен для того, чтобы в базе было фиксированное поле pass CHAR(32), а прочие его полезности это как побочное явление.

              Мнения? )
                0
                — Насчёт того, что админ если захочет, то узнает — совершенно правы (мораль: не стоит заходить на стартапы «религиознызх» врагов :))) )
                — Пароль шлётся на сервер так, как его решили слать разработчики. Вот у меня доступ к банковским счетам идет через https, ну а на wikimapia не Пентагон вроде, так что да, шлется открыто…

                Хэш нужен для того что бы: усложнить жизнь взломщикам, если они уж как-то ухитрились базу достать, ну и как защита от соблазна обладания куууучей паролей в открытом виде для самих авторов проекта. Вроде копилки на замке, а ключ проглотить (а еще лучше проглотить коту, а еще лучше соседскому)…

              0
              Если у них простейший метод шифрования то восстановить пароли из хэша можно например тут
              tools.web-max.ca/encode_decode.php
                0
                Само определение хеша подразумевает необратимость операции (кроме брутфорса или рейнбоу таблиц, что никак нельзя назвать шифрованием), так что это и не шифрование вовсе.

                Что же касается MD5, то это спорный вопрос, насчёт восстановления, все зависит от той же «соли», ну и уникальности пароля. Рейнбоу таблицы строятся, на сколько я понимаю, по словарному принципу, ну и генерации хэшей наборов бессвязных символов. Если ваш пароль состоит из нескольких неразделённых английских слов вперемежку с числами и специальными знаками, а тем более заканчивается на ту самую бессвязную белиберду, то в таблицах такой вряд ли найдется :)
                  0
                  нечего спорить, попробуйте <? echo sha1('your_pass'); ?> или <? echo md5('your_pass'); ?>, а затем декодируйте предложенным сервисом. Это работает.
                    0
                    Ну если там будет действительно 'your_pass', то конечно такое есть в таблицах, а если указать:

                    c1beba991116656adc4f5337006f17bd

                    то сайт скромно ответит: No conversion available

                    Кстати, хэш получен вот так:
                    <? echo md5('AvaloReal~Cool||Pass66397/*/*/*'); ?>
                      0
                      Согласитесь, что в случае описанном в статье пароль был наверняка востановлен способом похожим на мой… Т.е. пароль был простым и без соли :) Хотя «настоящие пацаны», конечно, должны «солить» :)
                        0
                        Увы, не могу согласиться… Пароль был из 16 символов, у меня вообще меньше не бывает…
                        Проверил по тем вашим талицам, не помогло… нет у них моего хеша и быть не могло :)

                        No conversion available, господа…
                  0
                  Загадка гудина разгадана. Они просто собирают ваши пароли.
                  INSERT INTO `table`(`key`, `hash`) VALUES («your_key», MD5(«your_key»));
                  SELECT `key` FROM `table` WHERE `hash`= «request» LIMIT 1;

                0
                Огромной разницы не вижу, всё равно, если хакеры украдут базу, ущерб будет большим: в руки спамерам попадёт база почтовых адресов. Вот бы кто адреса додумался шифровать =)
                  0
                  Лично я думаю, что разница большая… Одно дело когда никто (включая владельцев сайта) не знает моего пароля, а другое дело, когда владелец в любой момент может его узнать. (Я не учитываю того что владаелец зная «соль» может рейбоуить пароль. На такой случай нужно просто хороший пароль ставить изначально)

                  Вот представляете, сколько на Хабре стартаперов, а вдруг Вы или я, скажем, кого-то обидите, на «религиозной» почве, а он (будучи владельцем какого-то из них) — раз и в каком нибудь Вконтакте сменит вам пароль, предварительно поставив на аватар что-то эдакое… :)
                  –1
                  Когда Википедия нужна вам, она к вашим услугам! :)
                    0
                    пользуйтесь KeePass или другим менеджером паролей :). я третий год держу за правило уникальные пароли на каждом ресурсе.
                      0
                      Пользоваться менеджером stand-alone не так уж удобно, ну, сами понимаете, работа, дом, ноутбук, например… То-есть встает вопрос синхронизации всего этого.

                      С другой стороны онлайн-хранилища паролей вызывают такую же опаску как Wikimapia, мол, вдруг они вовсе не хранилища, а сборища чужих паролей ко всему на свете, а если и нет, то остается вероятность того, что они тоже о хешах не слышали.

                      Ну и последнее — считаю не самой лучшей затеей хранить десять паролей под одним, даже надёжным. (Но это, скорее, уже мои личные накруты.)
                        0
                        Впрочем, если уж и хранить пароли к web-ресурсам и не думать о синхронизации, то тут мне представляется удобной новая функция от foxmarks.com, кажется, Password sync называется… Там пользователю хотя бы подсказывают надёжность пароля (который там почему-то обозвали pin-код)
                          0
                          попробуйте Opera synchronize
                            0
                            Пользуюсь Firefox'ом, так что, увы…
                        0
                        Нормальное явление. Ничего здесь такого плохого нет. Просто люди живут без паранойи.

                        Главное чтобы они хешами/шифрованием пользовались, при «обмене» сервера с клиентом :)

                        И база хорошо была закрыта, с точки зрения безопастности.
                        Если уж базу стырят — ушерб будет колоссальный и так. Все равно придется всё менять.

                        Тот кто получит доступ к базе данных — может и логины поменять, и вместо длинного «хеш-пароля» поставить хеш своего и т.п.

                          0
                          Дык одно дело ущерб и свои хеши подставят, другое дело база
                          ник-мыло-пароль

                          Лично у меня 2 основных мыла, 3 логина и 2 варианта паролей. Из них 1 вариант вида 12345… для сайтов на 1 раз. А основной пароль везде один, и к хостингам, и к доменам, и к аккаунтам на сайтах… Мне не сильно нравится вариант, что мой пароль может получить кто-то элементарным способом.
                            0
                            Вы имеете ввиду «хозяина» сайта?
                            Ну, когда вы вводите пароль, хозяин его и так может узнать ;)
                            А как получат другие? XSS? Если сайт дырявый то, на такие сайты и ходить не надо. Там надо ставить пароль 1234 :)
                            «Уважаемые» сайты в первую очередь берегут свои базы.
                            Просто люди живут без паранойи. Кто захочет скомуниздить ваш пароль может это сделать и другими путями…
                              0
                              Кстати начет «мыльных» сайтов — сголасен, там владелец обязан хранить пароли в зашифрованном виде. А в случае wikki — имхо и не надо.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое