Pull to refresh

Список сайтов, которые хранят пароли открытым текстом

Reading time 2 min
Views 8.1K
В это трудно поверить, но около 30% сайтов держат пароли своих пользователей в незащищённом виде. Если кто-то проникнет к ним в систему, то все пароли будут перед ними открытым текстом.

Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.

Как известно, многие люди склонны использовать одинаковые пароли для различных сервисов. Если в одном месте случилась утечка данных, то этот пароль может подойти и к его почтовому ящику, и к сервису онлайн-банкинга.

Авторы «чёрного списка» Plain Text Offenders уверены, что бороться с такой беспечностью веб-разработчиков можно только с помощью общественного порицания. На этом ресурсе ежедневно публикуются сайты, которые, возможно, хранят пароли в открытом виде.

Если вы сами обнаружили такой неприглядный сайт — присылайте скриншот с доказательством (например, письмо от них с паролем в открытом виде), и его добавят в список.

Вообще-то, если сервис присылает вам письмо с вашим паролем, это не обязательно означает, что они хранят их в открытом виде. Но, во-первых, пересылка такой секретной информации в открытом виде через открытые сети сама по себе достойна порицания.

Во-вторых, если сервис присылает пароли по почте открытым текстом, значит где-то на серверах они тоже хотя бы временно хранятся открытым текстом. Возможно также, что имеются бэкапы или почтовый архив, где эти данные хранятся постоянно. То есть даже если они и хэшируют пароли, но хранение такого почтового архива нивелирует все защитные мероприятия.

Ещё один «чёрный список» сайтов, хранящих пароли в открытом виде, ведётся здесь. Там же можно найти расширение PasswordFail для Chrome, которое будет сообщать, если вы зашли на какой-то сайт из списка.

Для надёжной защиты паролей рекомендуется использовать только bcrypt. Дело в том, что на современных числодробилках CUDA можно собрать относительно недорогой кластер, который не только будет зарабатывать bitcoin на 10–20 долларов в сутки, но и перебирать до 700 млн хэшей в секунду, так что обычный хэш вроде MD5 или SHA1 тоже нельзя считать надёжной защитой.
Tags:
Hubs:
+35
Comments 55
Comments Comments 55

Articles