Több cég is elismerte a közelmúltban, hogy egyszerű szöveges formátumban tárolja a jelszavakat. Ez olyan, mintha egy jelszót tárolna a Jegyzettömbben, és .txt fájlként mentené el. A jelszavakat a biztonság kedvéért sózni és kivonatolni kell, miért nem történik meg ez 2019-ben?
Miért nem szabad a jelszavakat egyszerű szövegként tárolni?
Amikor egy vállalat egyszerű szövegben tárolja a jelszavakat, bárki, aki rendelkezik a jelszóadatbázissal – vagy bármilyen más fájlban, amelyben a jelszavak vannak tárolva –, elolvashatja azokat. Ha egy hacker hozzáfér a fájlhoz, láthatja az összes jelszót.
A jelszavak egyszerű szövegben történő tárolása szörnyű gyakorlat. A vállalatoknak meg kell óvniuk és kivonatolniuk a jelszavakat, ami egy másik módja annak, hogy „további adatok hozzáadása a jelszóhoz, majd visszafordíthatatlan kódolás”. Ez általában azt jelenti, hogy még ha valaki ellopja is a jelszavakat egy adatbázisból, azok használhatatlanok. Amikor bejelentkezik, a cég ellenőrizheti, hogy a jelszava megegyezik-e a tárolt kódolt verzióval – de nem tudnak „visszafelé dolgozni” az adatbázisból, és meghatározni a jelszavát.
Miért tárolják tehát a cégek a jelszavakat egyszerű szövegben? Sajnos a cégek néha nem veszik komolyan a biztonságot. Vagy úgy döntenek, hogy a kényelem érdekében kompromisszumot kötnek a biztonsággal. Más esetekben a cég mindent jól csinál a jelszó tárolása során. De előfordulhat, hogy túlbuzgó naplózási képességeket adnak hozzá, amelyek egyszerű szövegben rögzítik a jelszavakat.
Számos vállalat nem megfelelően tárolja a jelszavakat
Lehet, hogy már a rossz gyakorlatok is érintik, mert Robin Hood, Google, Facebook, GitHub, Twitter és mások egyszerű szövegben tárolták a jelszavakat.
A Google esetében a cég megfelelően kivonatolta és besózta a legtöbb felhasználó jelszavait. De G Suite Enterprise-fiók jelszavai egyszerű szövegben tárolták. A cég szerint ez megmaradt gyakorlat volt attól kezdve, hogy a tartományi rendszergazdáknak eszközöket adott a jelszavak helyreállításához. Ha a Google megfelelően tárolta volna a jelszavakat, ez nem lett volna lehetséges. Csak a jelszó-visszaállítási folyamat működik a helyreállítás során, ha a jelszavak megfelelően vannak tárolva.
Amikor a Facebook is elismerte a jelszavak tárolását egyszerű szövegben nem adta meg a probléma pontos okát. De a problémára egy későbbi frissítésből következtethet:
…felfedeztük az Instagram-jelszavak további naplóit, amelyek olvasható formátumban vannak tárolva.
Néha egy vállalat mindent jól csinál, amikor először tárolja a jelszavát. Ezután adjon hozzá új funkciókat, amelyek problémákat okoznak. A Facebookon kívül Robin Hood, Github, és Twitter véletlenül naplózott egyszerű szöveges jelszavak.
A naplózás hasznos lehet az alkalmazásokban, a hardverben és még a rendszerkódban is felmerülő problémák kereséséhez. De ha egy vállalat nem teszteli alaposan ezt a naplózási képességet, az több problémát okozhat, mint amennyit megold.
A Facebook és a Robinhood esetében, amikor a felhasználók megadták felhasználónevüket és jelszavukat a bejelentkezéshez, a naplózási funkció láthatja és rögzítheti a felhasználóneveket és jelszavakat a beírásuk közben. Ezután a naplókat máshol tárolta. Bárki, aki hozzáfért ezekhez a naplókhoz, mindennel rendelkezett, amire szüksége volt egy fiók átvételéhez.
Ritka esetekben egy olyan vállalat, mint a T-Mobile Australia, figyelmen kívül hagyhatja a biztonság fontosságát, néha a kényelem jegyében. Az a azóta törölt Twitter csere, a T-Mobile képviselője elmagyarázta egy felhasználónak, hogy a cég egyszerű szövegben tárolja a jelszavakat. A jelszavak ilyen módon történő tárolása lehetővé tette, hogy az ügyfélszolgálati képviselők a jelszó első négy betűjét lássák megerősítés céljából. Amikor a többi Twitter-felhasználó megfelelően rámutatott, milyen rossz lenne, ha egyesek