Fórumok
Használok egy szoftvert. Most mindegy is, hogy melyiket, a lényeg, hogy van neki előfizetése.
Kérdeztem az helpdesket, hogy lehet a kártya infót módosítani. Válaszolt a csóka, hogy a weboldalon ha kártyával fizetem a következő havi sápot, akkor eltárolják a kártya infót, a régit eldobják és majd az új kártyáról vonnak a jövőben.
Weboldal, kártyás fizetés, megjelenik a confirmation oldal.
Rajta a felhasználónevem, a jelszavam, mire fizettem elő, mennyi pénzt.
Írtam nekik egy emailt, hogy "bazze, mi a péniszért van nálatok a jelszavam eltárolva cleartextben?!"
Most várom a válaszukat. Szerintem a kérdést se fogják érteni.
Hozzászólások
Mert ha elfelejtened, akkor igy meg tudjak mondani:)
Nagyobb cégeknél se jobb a helyzet:
- T-Mobile Austria: “The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login,”
- User: “what if your infrastructure gets breached and everyone’s password is published in plaintext to the whole wide world?”
- T-Mobile Austria: “What if this doesn't happen because our security is amazingly good? ^Käthe”
Did T-Mobile Austria Really Just Admit It Stores Customer Passwords in Plaintext?
2 hónappal később...
T-Mobile Hacked In Data Breach That Hit 2 Million Customers
Én lehet, hogy kötelezővé is tennem a plain textet (nyilván irónia), de kötelezően fel is hívnám rá a figyelmet (ez nyilván nem irónia):
Tisztelt regisztráló, kurvára tudni fogjuk mi a jelszavad. Beleértve az IT összes mostani és régi dolgozóját + a teljes ügyfélszolgálat. + ha feltörnek minket akkor mindenki más is.
Ezen kockázat mellett - könnyen érthető okból - javasoljuk, hogy egyedi jelszót használj. Ha kell a Chrome generál neked egyet (cellán jobbgomb jelszógenerálás), és el is menti.
Kérjük NE használj olyan jelszót amit máshol is használsz. Köszönjük.
A összes többi elkódolós játék csak játék. Egyrészt a feltört rendszerből könnyen kideríthető a kódolási technika onnantól csak processzoridő az egész, másfelől a feltört rendszerbe még logikusan plainben érkezik a jelszó, csak kódolás előtt le kell menteni, amit nem túl bonyolult úgy megcsinálni, hogy egyhamar ne derüljön ki. Úgyhogy kb az egyetlen biztonságos megoldás, ha mindenhol mást használsz.
Talán a GDRP meg a Cookie Consent helyett azt kellene szabályozni, hogy a jelszavak hogyan tárolhatóak.
Ahhoz érteni is kéne...
I changed all my passwords to wrong. So if I forget, my computer tells me.
Sehogy nem kellene tárolni! Ahhoz képest hogy a web a leggyorsabban pörgő terület, ahol már az előző évi megoldások elvaultak, az RSA-t valahogy mégsem bírták ~30 év alatt bevezetni.
- https client auth
- https://www.w3.org/TR/webauthn/
Turelem :)
Kedvencem, én találkoztam olyan oldallal, hogy regisztrációnál csak usernevet adsz, és a jelszót emailben elküldi. Ami mondjuk el is megy, de nem egyszer használatos. Továbbá, ha belépsz, és jelszót cserélsz, akkor rögtön kapsz egy email, hogy jelszót cseréltél, "Az új jelszód: ...". Nem tudsz úgy jelszót cserélni, hogy emailben ne küldené újra el... Azt nem tudom hogy tárolják, de ezek után már végül is mindegy is.
--
"Sose a gép a hülye."
Most mi a baj? Annó, amikor az ügyfélkapumat nyitottam, a jelszavamat be kellett diktálni az ügyfeles csajnak, mások is hallhatták bizony és azt leírta! és papíron eltette! :D Csak a fél világ tudta... :D