jelszó plain textben

Security-all

Sziasztok!

Kötelező biztosítás átkötése kapcsán botlottam bele, egy olyan ügybe, aminek a végén az üfsz. e-mailben visszaküldte a regisztrációhoz tartozó adataimat, melyben nem csak a felhasználónevem, de a korábban általam jóval régebben megadott jelszó is szerepelt. Szerintetek ez mennyire van így rendben?

  • 2223 megtekintés

( shark | 2018. 01. 24., sze – 16:58 )

Hát, lehet, hogy meg kéne ismerkedniük az OWASP és a GDPR betűszavakkal.

( denton | 2018. 01. 24., sze – 17:09 )

Melyik biztosítónál futottál ebbe bele?
Írhatod privátban is, sőt, inkább ott.

( mbael | 2018. 01. 24., sze – 17:23 )

Annyira nincs, hogy ezert mar egy gyakornok fejleszto is kisebb / nagyobb seggbe rugast kap.

De a BKK-s illetve kis es kozepvallalkozasoknal anno eltoltott ido utan mar semmi sem tud meglepni

( lcsaszar v | 2018. 01. 24., sze – 18:35 )

Ilyet már én is több helyről kaptam.

+1
Egy időben akartam is szavazást indítani, hogy mennyire bíznál meg egy olyan cégben, aki plain textben küldi ki a jelszavadat. Hat vagy hét céget is összegyűjtöttem de elhánytam a listát.

Gyorsan rákeresve:
tarhely.eu (2016 jan),
Padlás Nyelviskola és Könyvkiadó KKT
DID World Wide
divido.hu (2007)
ulead.com.tw
JustVoip
netrisk.hu
vmware.com
CsomagterTalca.Com
haldorado.hu
codeweavers.com
greenaqua.hu
rextra.hu
avplanet.hu

...és még
id1.hu
conrad.hu
vfpsystems.hu
gepeszbolt.hu
tavnyito.hu
**ez itt egy meg nem bíróság**

Nem állítom, hogy ma is így van, de akkor igen, mert minden ilyen levelet eltettem.

Telenor.

Online felületen kérdés (számot hordoztam, s nem akarták az utolsó havi számlám összegét elfogadni tőlem), a supportos válaszában alul (gondolom amire ő válaszolt, amit az online felületről megkapott), ott volt a jelszavam.

Mikor szóvá tettem, értetlenkedtek egy kört (mikor küldtük mi ki plain textben?), majd én ennyiben hagytam.

Van egy rakás olyan technikai fórum (!!!) és webshop Magyarországon, jelen pillanatban, ami így kiküldi neked kérésre a jelszavad, de én bízok bennük, hogy csak ilyenkor külön kérésre kapcsolják be a hash-visszafejtő-varázspálcát, nem hiszem, hogy hanyagok lennének.

Mindenesetre tény, hogy ott van az e-mail fiókomban egy olyan jelszó amit "nyilván" még más helyekre is használok és nem szerettem volna, hogy ott landoljon. Ehhez még az is hozzátartozik, ha rosszul diktálom be az emailcímem, vagy az üfsz-es csaj rosszul hall valamit, akkor már nem az én fiókomban landol.
Ezen kívül pedig azért megkülönböztetném Józsi webáruházát egy megbízhatónak tűnő biztosítási alkusz cégtől akinek még megvan pár adatom és el is érhető a fiókból.

Sajna nem találom, hogy hol küldték ki nekem a jelszavam ugyan így, de igen, azért nem mindegy, hogy a szilvalekvár rendeléseim nézik vissza, esetleg a comment-jeimet törlik-módosítják, vagy a szerződéseimhez férnek hozzá. De a legjobb az, hogy alapvetően egy kis fejlesztői feladatról van szó, nem egy olyan részletről, amit egy kis webshop nem engedhet meg magának.

( uid_17626 | 2018. 01. 24., sze – 18:42 )

Szerinted egy bank a telekododat hogy tarolja amilor igy keri be:
- adja meg a negyedik karakterz, most a masodikat, most az otodiket

?

Szerintem az más kategória, mivel az személy beazonosítás. És ott ált. amivel én találkoztam, az az hogy adja meg a "születési dátumjának X. karakterét", stb.

és mivel telekód, utána jön még ezer egy beazonosítási forma. Amúgy a PIN kódodat hogy tárolja le ?

De az nem a jelszó.. Jelszót így tőlem még nem kértek sose, hogy adjam meg a jelszavam X.dik karakterét.

Bár tény, ezek személyes adatok, (születési név, hely, idő, anyja neve, stb. ilyesmik szoktak lenni) de ezekre nem vonatkozik semmi olyan tv, hogy ezt a bank ne tudhatná, hiszen mikor a szerződést aláfirkantod, akkor Te magad adod meg.

De ezen személyes adatok tárolásáért felelősséget vállal az adott bank, stb, szervezet. Ezt SOHA nem adja ki! (kivétel rendőrségi nyomozás, stb) Még NEKED sem! Ha kéred akkor sem. Ellenben fenti usernél elküldték neki a plaintextben tárolt jelszót. Köszi.

De azért olyan még nem hiszem hogy előfordult, hogy uh "Elnézést, megmondaná mikor született anyám ? Ah igen persze kis türelmet..." ...

Szóval ne mossuk össze annyira ezt a kérdést :)

szal telekód != jelszó semmien téren. Telekód arra való, hogy a banki alkalmazott legalább tudja hogy hanyadik Kis Béláról van szó akit be kell majd utána azonosítani.... kb _majdnem_ egyenértékű a számlaszám / credit card numberrel.

Az baj. Mert eddig nekem akárhányszor volt a bankommal kapcsolat, ahol telekód kellett, ott mindig megvolt a fenti azonosítás random verziója.
Ha engem hívtak, ha én hívtam őket.

Szóval passz.

ps: btw igen, ennyi erővel ott is él a "plain-text" lehetősége, mert nyilván Marika nem papírról olvassa el a dolgot. Hm.

Fura. Most egy kicsit elgondolkoztam ezen. De azért annyi véd ettől, hogy egy bank soha a büdös életbe _nem_ fog nekem kiküldeni emailbe bármilyen személyes adatot vagy jelszót.

Huba...

Ha banki accountokat és jelszavakat akarnék lopni, csakis úgy tenném, hogy az engem rohadtul nem érdeklő személyes adatszilánkok bekérése közé beszúrnám az id és jelszó ennyiedik és annyiadik karakterére vonatkozó kérdéseket. Nyilván es se jönne be mindenkinél, de valószínűleg kifinomultabb csapda (bár drágább és időigényesebb), mint a szokásos riogatva jelszót kérő spam.

Mit érdekelnek engem telekódok! Én csak likvid adatot akarok lopni.

Felhívom Lúzer Lajosnét azzal a kamu (és sablonos) szöveggel, hogy jó kártyahasználó, ezért különleges ajánlatom van.
Ha kikéri magának az kártyázást, akkor bocs, téves/ rossz a rendszer/menstruálok/ő menstruál.

Miután pályára álltunk, persze be kell őt azonosítanom a soha vissza nem térő ajánlatért a "szokásos módon, és egyébként persze rögzítjük a beszélgetést".

Itt jöhet a személyes adatok kérése közé fésülve a kérdés a bankkártyaszám "biztonsági okokból" csak az első 12 jegyére. Aztán a hátul szereplő 7-re.

Miután olyan jól beazonosítottam, vagy leteszem, vagy bemondom a szokásos hülyének nézős THM-mel a nagy hitel lehetőségét, mire ő teszi le, ami jobb.

Az jelszó küldése is lehet hanyagság, ha nem erősen korlátos az érvényessége, és az azzal belépés nem trokollik kötelező módosításba, amelynek csak a tényéről megy levél (de MEGY), az új jelszó nélkül.

De tkp. ez annyira alapvető, hogy nem is értem, 2018-ban hogy jöhet elő még ennél gyengébb szisztéma.

( Tassadar v | 2018. 01. 24., sze – 19:09 )

Nekem az egyik legnagyobb magyar bank tőzsdei kereskedési rendszere küldte vissza a regisztrációt követően azonnal, a megadott jelszót, mint valami kérés nélküli emlékeztetőt.

Ilyen megoldást már több helyen láttam webshopokban is, nemrég volt valami, nem jut eszembe, ahol meg is lepett, hogy a levélben ott a jelszó a regisztráció után. Mondjuk ott áll az a megállapítás, hogy ha már bent van a mailbox-odban, akkor kérhet egy új jelszót is, ugyan ott van, a tőzsdei rendszernél remélem nincs "elfelejtettem a jelszavam, küldj egy linket" megoldás :). (Egyébként meg mindenki használjon biztonságos levelező programot, https-t, stb.)

Engem múlt héten osztott ki egy ügyfél cégen belüli IT-sa, hogy az email biztonságos átvitel (pgp vagy bármi nélkül), miért ne szerepelhetne benne kényes adat (mert javasoltam, hogy ne legyen csatolva a céges excel, és ne legyen one-click-login). És én se vagyok egy biztonsági zseni, kapkodok is rendesen, hogy mindent megtanuljak, de látom van aki az esélytelenek nyugalmával inkább neki se állt. Csak tudnám hogy rendszergazda az ilyen.