jelszó plain textben

 ( Toomi | 2018. január 24., szerda - 17:45 )

Sziasztok!

Kötelező biztosítás átkötése kapcsán botlottam bele, egy olyan ügybe, aminek a végén az üfsz. e-mailben visszaküldte a regisztrációhoz tartozó adataimat, melyben nem csak a felhasználónevem, de a korábban általam jóval régebben megadott jelszó is szerepelt. Szerintetek ez mennyire van így rendben?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez kérdés ? Semennyire.

+1

Hát, lehet, hogy meg kéne ismerkedniük az OWASP és a GDPR betűszavakkal.

Melyik biztosítónál futottál ebbe bele?
Írhatod privátban is, sőt, inkább ott.

+1 privatban jöhetne nekem is. Előre is thx.

Sztem ez van annyira közügy, mint a nyári vonaljegy-kaland, csak a legkevésbé sem ambivalens a közzététele.

Én vállalom.
netrisk.hu

Vagy egy másik? :)

Annyira nincs, hogy ezert mar egy gyakornok fejleszto is kisebb / nagyobb seggbe rugast kap.

De a BKK-s illetve kis es kozepvallalkozasoknal anno eltoltott ido utan mar semmi sem tud meglepni

Már persze ha a gyakornok fejlesztőnek beleszólása van az adatstruktúrába. Én is dolgoztam olyan oldalon ahol plaintext volt a jelszó. Megideologizálták miért jó. A kedvemért nem változott meg a rendszer.

Ilyet már én is több helyről kaptam.

+1
Egy időben akartam is szavazást indítani, hogy mennyire bíznál meg egy olyan cégben, aki plain textben küldi ki a jelszavadat. Hat vagy hét céget is összegyűjtöttem de elhánytam a listát.

Gyorsan rákeresve:
tarhely.eu (2016 jan),
Padlás Nyelviskola és Könyvkiadó KKT
DID World Wide
divido.hu (2007)
ulead.com.tw
JustVoip
netrisk.hu
vmware.com
CsomagterTalca.Com
haldorado.hu
codeweavers.com
greenaqua.hu
rextra.hu
avplanet.hu

...és még
id1.hu
conrad.hu
vfpsystems.hu
gepeszbolt.hu
tavnyito.hu
**ez itt egy meg nem bíróság**

Nem állítom, hogy ma is így van, de akkor igen, mert minden ilyen levelet eltettem.

netrisk.hu - ne mondd, hogy nem figyelmeztettek!

A topikindító is egy biztosítási alkusz... úgy látszik ezekben a berkekben ez a divat :)

A telefontársaságok megvalósították a számhordozást - a biztosítók a jelszó hordozhatóságára törekszenek.

:D:D:D

Új szolgáltatásként kérésre megmondják a facebook jelszavad, hisz 90% az esélye, hogy volt olyan tudatlan a kedves ügyfelük, hogy a bankban is azt használta. Bizti ami bizti!

Telenor.

Online felületen kérdés (számot hordoztam, s nem akarták az utolsó havi számlám összegét elfogadni tőlem), a supportos válaszában alul (gondolom amire ő válaszolt, amit az online felületről megkapott), ott volt a jelszavam.

Mikor szóvá tettem, értetlenkedtek egy kört (mikor küldtük mi ki plain textben?), majd én ennyiben hagytam.

Telenornál konkréten email support kéri el, de a válaszban már ki van X-elve :)

--
ESET és Synology hivatalos viszonteladó

Van egy rakás olyan technikai fórum (!!!) és webshop Magyarországon, jelen pillanatban, ami így kiküldi neked kérésre a jelszavad, de én bízok bennük, hogy csak ilyenkor külön kérésre kapcsolják be a hash-visszafejtő-varázspálcát, nem hiszem, hogy hanyagok lennének.

Mindenesetre tény, hogy ott van az e-mail fiókomban egy olyan jelszó amit "nyilván" még más helyekre is használok és nem szerettem volna, hogy ott landoljon. Ehhez még az is hozzátartozik, ha rosszul diktálom be az emailcímem, vagy az üfsz-es csaj rosszul hall valamit, akkor már nem az én fiókomban landol.
Ezen kívül pedig azért megkülönböztetném Józsi webáruházát egy megbízhatónak tűnő biztosítási alkusz cégtől akinek még megvan pár adatom és el is érhető a fiókból.

Sajna nem találom, hogy hol küldték ki nekem a jelszavam ugyan így, de igen, azért nem mindegy, hogy a szilvalekvár rendeléseim nézik vissza, esetleg a comment-jeimet törlik-módosítják, vagy a szerződéseimhez férnek hozzá. De a legjobb az, hogy alapvetően egy kis fejlesztői feladatról van szó, nem egy olyan részletről, amit egy kis webshop nem engedhet meg magának.

Szerinted egy bank a telekododat hogy tarolja amilor igy keri be:
- adja meg a negyedik karakterz, most a masodikat, most az otodiket

?

Természetesen biztonságosan, karakterenként hash-elve! :D

:)

Szerintem az más kategória, mivel az személy beazonosítás. És ott ált. amivel én találkoztam, az az hogy adja meg a "születési dátumjának X. karakterét", stb.

és mivel telekód, utána jön még ezer egy beazonosítási forma. Amúgy a PIN kódodat hogy tárolja le ?

De az nem a jelszó.. Jelszót így tőlem még nem kértek sose, hogy adjam meg a jelszavam X.dik karakterét.

Bár tény, ezek személyes adatok, (születési név, hely, idő, anyja neve, stb. ilyesmik szoktak lenni) de ezekre nem vonatkozik semmi olyan tv, hogy ezt a bank ne tudhatná, hiszen mikor a szerződést aláfirkantod, akkor Te magad adod meg.

De ezen személyes adatok tárolásáért felelősséget vállal az adott bank, stb, szervezet. Ezt SOHA nem adja ki! (kivétel rendőrségi nyomozás, stb) Még NEKED sem! Ha kéred akkor sem. Ellenben fenti usernél elküldték neki a plaintextben tárolt jelszót. Köszi.

De azért olyan még nem hiszem hogy előfordult, hogy uh "Elnézést, megmondaná mikor született anyám ? Ah igen persze kis türelmet..." ...

Szóval ne mossuk össze annyira ezt a kérdést :)

szal telekód != jelszó semmien téren. Telekód arra való, hogy a banki alkalmazott legalább tudja hogy hanyadik Kis Béláról van szó akit be kell majd utána azonosítani.... kb _majdnem_ egyenértékű a számlaszám / credit card numberrel.

Jelszo szerintem az amivel hitelesited magad es nem azonositod. A telekodot jelszonak hasznaljak.

Az baj. Mert eddig nekem akárhányszor volt a bankommal kapcsolat, ahol telekód kellett, ott mindig megvolt a fenti azonosítás random verziója.
Ha engem hívtak, ha én hívtam őket.

Szóval passz.

ps: btw igen, ennyi erővel ott is él a "plain-text" lehetősége, mert nyilván Marika nem papírról olvassa el a dolgot. Hm.

Fura. Most egy kicsit elgondolkoztam ezen. De azért annyi véd ettől, hogy egy bank soha a büdös életbe _nem_ fog nekem kiküldeni emailbe bármilyen személyes adatot vagy jelszót.

Huba...

Ha banki accountokat és jelszavakat akarnék lopni, csakis úgy tenném, hogy az engem rohadtul nem érdeklő személyes adatszilánkok bekérése közé beszúrnám az id és jelszó ennyiedik és annyiadik karakterére vonatkozó kérdéseket. Nyilván es se jönne be mindenkinél, de valószínűleg kifinomultabb csapda (bár drágább és időigényesebb), mint a szokásos riogatva jelszót kérő spam.

Köszi, telefonon (nem okos telefon, rendes telefon, tudod, tárcsa van rajta meg minden) ezt hogyan valósítod meg ? :D
Mert hogy tádám, a telekód az a telefonos (nem, nem QR kód, nem nem okostelefon, beszélgetés telefon ...) azonosításra használt "kód" :)

Figyelek.

Mit érdekelnek engem telekódok! Én csak likvid adatot akarok lopni.

Felhívom Lúzer Lajosnét azzal a kamu (és sablonos) szöveggel, hogy jó kártyahasználó, ezért különleges ajánlatom van.
Ha kikéri magának az kártyázást, akkor bocs, téves/ rossz a rendszer/menstruálok/ő menstruál.

Miután pályára álltunk, persze be kell őt azonosítanom a soha vissza nem térő ajánlatért a "szokásos módon, és egyébként persze rögzítjük a beszélgetést".

Itt jöhet a személyes adatok kérése közé fésülve a kérdés a bankkártyaszám "biztonsági okokból" csak az első 12 jegyére. Aztán a hátul szereplő 7-re.

Miután olyan jól beazonosítottam, vagy leteszem, vagy bemondom a szokásos hülyének nézős THM-mel a nagy hitel lehetőségét, mire ő teszi le, ami jobb.

Te egy tök más lopásról beszélsz amúgy.

+ rossz úton jársz, a bank SOHA nem kér be bankkártyaszámot... De Marika néni lehet, de ez már megint nem arról szól amiről a téma szól .. Szo-szoo szól ..

De tökmind1, lehet próbálkozni:

117788-006688

Hajrá.

> bankkártyaszám
> 1...

valami itt gyanús :)
uatp kártyád van?

Az a gyanús ami nem gyanús :)

Itt azért nem mindegyik példa eltárolt jelszóról szól. Van pl regisztráció végén kiküldött levél, nem biztos attól még, hogy eltárolják a jelszavakat. Szóval nem tudom, hogy érdemes a kettőt összemosni.

Az jelszó küldése is lehet hanyagság, ha nem erősen korlátos az érvényessége, és az azzal belépés nem trokollik kötelező módosításba, amelynek csak a tényéről megy levél (de MEGY), az új jelszó nélkül.

De tkp. ez annyira alapvető, hogy nem is értem, 2018-ban hogy jöhet elő még ennél gyengébb szisztéma.

barátkozzunk meg a gondolattal, hogy a nem-titkosított email nem túl biztonságos csatorna ^^

Meg egyébként is mi a halálnak kiküldeni, ha nem kérte.

Nekem az egyik legnagyobb magyar bank tőzsdei kereskedési rendszere küldte vissza a regisztrációt követően azonnal, a megadott jelszót, mint valami kérés nélküli emlékeztetőt.

Ilyen megoldást már több helyen láttam webshopokban is, nemrég volt valami, nem jut eszembe, ahol meg is lepett, hogy a levélben ott a jelszó a regisztráció után. Mondjuk ott áll az a megállapítás, hogy ha már bent van a mailbox-odban, akkor kérhet egy új jelszót is, ugyan ott van, a tőzsdei rendszernél remélem nincs "elfelejtettem a jelszavam, küldj egy linket" megoldás :). (Egyébként meg mindenki használjon biztonságos levelező programot, https-t, stb.)

Nem csak a 2FA hiánya a probléma (ami megoldaná az elbitorolt mailbox problémáját), hanem, hogy isten sem tudja, hogy az össze-vissza routolodó emailt hol sniffelik.
Ez a trágya egyébként az Erste Trader.

Engem múlt héten osztott ki egy ügyfél cégen belüli IT-sa, hogy az email biztonságos átvitel (pgp vagy bármi nélkül), miért ne szerepelhetne benne kényes adat (mert javasoltam, hogy ne legyen csatolva a céges excel, és ne legyen one-click-login). És én se vagyok egy biztonsági zseni, kapkodok is rendesen, hogy mindent megtanuljak, de látom van aki az esélytelenek nyugalmával inkább neki se állt. Csak tudnám hogy rendszergazda az ilyen.