Ukládat hesla v plaintextu a na vyžádání je zasílat nezměněná emailem, to chce pořádnou dávku odvahy. Nebo to není odvaha, ale úplně jiná vlastnost? 

Kdykoliv vám provozovatel služby zašle vaše zapomenuté původní heslo e-mailem, mějte se na pozoru. Jestli jej dovede zjistit a zaslat, dovede to každý, kdo má přístup k jeho systémům. Zaměstnanci, dodavatelé, hackeři, člověk, co našel v odpadcích záložní disk...

Pokud taková firma, cituji, "patří k největším poskytovatelům internetových služeb na českém trhu", je třeba být obzvláště opatrný.

Máte domény, hosting, servery u Forpsi? Nepotěším vás

Forpsi zasílá zapomenuté heslo obyčejným emailem, nezměněné, původní. Neukládají hash, jako každý aspoň trochu rozumný. A na kritiku pro jistotu nijak nereagují a problém neřeší (moje tweety z 15.3, 4.7.e-mail 11.7)

 

Forpsi plaintext heslo

 

 

Když pomineme to, že poslat heslo mailem není zrovna košer, mnohem větší problém je to, že posílají vaše původní, nezměněné heslo. Znají ho, mají ho tak někde čitelně uložené, čekající na to, až uteče do veřejné části internetu. 

Jak je to správně

Pokud si nejste jisti, co je a není dobře, projděte si třeba prezentaci Michala Špačka z devel konference: http://www.slideshare.net/spaze/hashe-hesla-develcz-2013

Hash hesla sám o sobě není nic extra bezpečného. Ale plaintextově uložené heslo, to je jen otázka času, kdy přijde opravdu velký průser.

 

Disclaimer 

Článek nenabádá k žádným útokům na společnost, snažím se jen upozornit na problém, který jsem zaznamenal. A protože mě Forpsi ignoruje, doufám, že je tímhle textem postrčím k opravě.

Takže, pěkně prosím, vyjádří se někdo kompetentní, proč tomu tak je a zda je v plánu oprava?