Několik společností nedávno připustilo ukládání hesel ve formátu prostého textu. Je to jako uložit heslo do poznámkového bloku a uložit ho jako soubor .txt. Hesla by měla být kvůli bezpečnosti solená a hašovaná, tak proč se to neděje v roce 2019?
Proč by hesla neměla být uložena v prostém textu
Když společnost ukládá hesla v prostém textu, může si je přečíst kdokoli, kdo má databázi hesel – nebo jakýkoli jiný soubor, ve kterém jsou hesla uložena. Pokud hacker získá přístup k souboru, uvidí všechna hesla.
Ukládání hesel v prostém textu je hrozná praxe. Společnosti by měly hesla solit a hashovat, což je další způsob, jak říci „přidání dalších dat k heslu a následné zakódování způsobem, který nelze vrátit zpět“. Obvykle to znamená, že i když někdo ukradne hesla z databáze, jsou nepoužitelná. Když se přihlásíte, společnost může zkontrolovat, zda se vaše heslo shoduje s uloženou kódovanou verzí – ale nemůže „pracovat zpět“ z databáze a určit vaše heslo.
Proč tedy společnosti ukládají hesla v prostém textu? Bohužel někdy společnosti neberou bezpečnost vážně. Nebo se rozhodnou ohrozit bezpečnost ve jménu pohodlí. V ostatních případech dělá společnost při ukládání vašeho hesla vše správně. Mohou však přidat příliš horlivé funkce protokolování, které zaznamenávají hesla v prostém textu.
Několik společností má nesprávně uložená hesla
Možná jste již ovlivněni špatnými postupy, protože Robin Hood, Google, Facebook, GitHub, Twitter a další ukládaly hesla v prostém textu.
V případě Googlu společnost pro většinu uživatelů hesla adekvátně hashovala a osolovala. Ale Hesla účtů G Suite Enterprise byly uloženy v prostém textu. Společnost uvedla, že se jedná o pozůstalou praxi z doby, kdy poskytla správcům domény nástroje pro obnovení hesel. Kdyby Google správně uložil hesla, nebylo by to možné. Pokud jsou hesla správně uložena, pro obnovení funguje pouze proces resetování hesla.
Když Facebook také připuštěn k ukládání hesel v prostém textu neuvádí přesnou příčinu problému. Problém však můžete odvodit z pozdější aktualizace:
…zjistili jsme, že další protokoly hesel Instagramu jsou uloženy v čitelném formátu.
Někdy společnost udělá vše správně, když zpočátku uloží vaše heslo. A pak přidat nové funkce, které způsobují problémy. Kromě Facebooku, Robin Hood, Github, a Cvrlikání omylem přihlášená hesla ve formátu prostého textu.
Protokolování je užitečné pro hledání problémů v aplikacích, hardwaru a dokonce i systémovém kódu. Pokud však společnost tuto schopnost protokolování důkladně neotestuje, může způsobit více problémů, než jich vyřeší.
V případě Facebooku a Robinhood, když uživatelé zadali své uživatelské jméno a heslo pro přihlášení, funkce přihlášení mohla vidět a zaznamenávat uživatelská jména a hesla tak, jak byla zadávána. Tyto protokoly pak uložil jinde. Každý, kdo měl přístup k těmto protokolům, měl vše, co potřeboval k převzetí účtu.
Ve vzácných případech může společnost jako T-Mobile Australia ignorovat důležitost zabezpečení, někdy ve jménu pohodlí. V od smazané výměny na Twitteru, zástupce T-Mobile vysvětlil uživateli, že společnost ukládá hesla v prostém textu. Ukládání hesel tímto způsobem umožnilo zástupcům zákaznických služeb vidět první čtyři písmena hesla pro účely potvrzení. Když ostatní uživatelé Twitteru patřičně poukázali na to, jak špatné by bylo, kdyby někteří