News:

Измеряй микрометром. Отмечай мелом. Отрубай топором. Правило точности Рэя

Main Menu

OZON хранит пароли в открытом виде

Started by Уваров А.С., 28 November 2016, 11:19

Previous topic - Next topic

0 Members and 3 Guests are viewing this topic.

Уваров А.С.

Общепринятая практика - не хранить и не передавать, даже по защищенным каналам пользовательские пароли. Большинство нормальных веб-сервисов также не сохраняет пароли. В базе хранится только хэш, который сравнивается с хэшем переданным пользователем. Т.е. никто, включая администратора веб-сервиса не знает ваш пароль.
Однако OZON решил отличиться, прислав мне утром "письмо счастья" в котором в открытом виде "напомнил" мне пароль. Т.е. один из лидеров рынка электронной торговли России хранит в своей базе в открытом виде пароли пользователей и доступ к ним, как минимум, имеет технический персонал.
В общем - думайте сами  :(

OnkelV

Ха!
Как говорится: "Кто не спрятался - я не виноват!"

Опять-же, позволю себе высказать догадку - откуда такие дела есть пошли.
Может на ozon.ru и рады бы хранить данные клиентов в тайне, да сами пользователи настолько тупы, что теряют/путают/забывают свои логины-пароли.
Как результат - ozon имеет массу "мёртвых душ" в базе, плюс некоторые клиенты от отчаяния и неумения пользоваться мэйлами заводят второй-третий аккаунт.
Приходится идти на такие колхозные методы, чтобы приободрить покупателя и облегчить ему вход на сайт, а следовательно - покупки. Ну и чтоб по пять раз не регились.  ;)
Компьютеры крепкие, а софт можно переустановить!

Юсупов Игорь

Quote from: OnkelV on 30 November 2016, 00:25позволю себе высказать догадку - откуда такие дела есть пошли.

На то есть простой способ - сгенерировать новый пароль со сроком действия в разумных пределах и высылать именно его сразу со ссылкой на смену пароля в личном кабинете. Так думаю здесь (как и много где ещё) имеет место быть обычная человеческая лень.
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

OnkelV

Quote from: Юсупов Игорь on 30 November 2016, 09:35высылать именно его сразу со ссылкой на смену пароля
Воот... а хомяк не умеет с этим обращаться... и всё...

Компьютеры крепкие, а софт можно переустановить!

Юсупов Игорь

Quote from: OnkelV on 30 November 2016, 14:49Воот... а хомяк не умеет с этим обращаться... и всё...


А хомяк в итоге получает временный пароль, который, в случае чего, отвалится через время. В принципе на этап смены пароля его можно и не посылать: кто понимает - сам дойдёт, кто нет - будет без конца восстанавливать. Зато дырок не будет 8 )
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

Уваров А.С.

Делается просто - присылается ссылка на смену пароля, хомяк переходит по ней и вводит новый пароль. Все довольны.

А хранение паролей в открытом виде - это большая дыра в безопасности, учитывая что логин - почта и многие используют один пароль для всего. Как минимум, для таких сервисов надо генерировать уникальный пароль и не привязывать внутри никаких платежных инструментов.

OnkelV

Quote from: Уваров А.С. on 01 December 2016, 10:22присылается ссылка на смену пароля, хомяк переходит по ней и вводит новый пароль

Как одмин веб-шопа заявляю: Это тоже для многих непосильно.
Стоит сцыла "забыл пароль" и туда дико тыкают. Ага... чото "сайт ваш не работает и вообще - ничо непонятно!"
По телефону выясняется - у клиента нету аккаунта, или аккаунт на другом мэйле повешен.
Так и живём...
Компьютеры крепкие, а софт можно переустановить!

Юсупов Игорь

Quote from: OnkelV on 01 December 2016, 21:17вообще - ничо непонятно

Закажите инструкции в виде комиксов или мультов типа Аркадий Паровозов - пусть просвещаются 8 )
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

OnkelV

Quote from: Юсупов Игорь on 02 December 2016, 09:59или мультов типа Аркадий Паровозов

Не далее как сегодня я ходил к моркетенгу и просил их пройти стажировку в клинике для умственно отсталых, а так-же делать рекламу принципиально в стиле обучающих мультфильмов.
Для шопа мы даже сделали видео - как делать заказ. Но его никто не смотрит. Ибо "некогда".
Ролик минуты на 4.
А парить нам моск по телефону - это минут 10 лехко!  :W

Компьютерная грамотность населения падает стремительным домкратом.
Компьютеры крепкие, а софт можно переустановить!

Уваров А.С.

Ну, как меньшее зло, генерировать и присылать временный пароль, записывая в базу опять таки хэш, при этом даже если он будет перехвачен, то он скомпрометирует только учетку интернет магазина.

В текущем случае, учитывая что многие использую один пароль для всего при утечке пострадает практически весь цифровой мир пользователя. А если пароль от магазина = пароль от почты, то вообще тушите свет...


shamahn

Проще было б с пользователями, ИМХО, если б их (нас) для всяких магазинов, не заставляли придумывать пароли с буквами, цифрами и знаками препинания. Запоминать их невозможно, а если пользуешься раз в 3 месяца, - записывать тоже не очень хочется, т.к. постоянно появляются новые и более интересные варианты (возможно).
Почему нельзя ограничить длинной? И приходится каждый раз восстанавливать. Ну а хомячкам - регать новые учетки :)

Юсупов Игорь

#11
Анекдот к случаю

Ну и что, что использовать в качестве пароля имя своего кота - дурной тон ...
J3qQ4h7H2v, кис-кис-кис ....

А вообще, если пользователя не ограничивать, не заставлять придумывать адекватные пароли - о какой безопасности может идти речь.
Хотя как вариант можно сделать два типа учётных записей: стандартную и безопасную. В первой запретить привязку банковских карт и других потенциально ценных данных, во второй - требовать сложный пароль.
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

shamahn

Quote from: Юсупов Игорь on 12 December 2016, 07:39...о какой безопасности может идти речь. ...
Я Вас умоляю, подбор пароля длинной в 6 цифр с адекватной капчей после пары-тройки неверных вводов растянется на годы. А троянам все равно, есть у вас знаки препинания в пароле или нет :)

Юсупов Игорь

Quote from: shamahn on 12 December 2016, 12:12Я Вас умоляю, подбор пароля длинной в 6 цифр

Это если правда будет 6 цифр не из "стандартного" набора. Однако будем реально смотреть на вещи: пользователи (если им разрешить) скорее всего не будут заморачиваться, а сделают 111111, 123456, 654321 или ещё что-нибудь в таком духе.
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

Уваров А.С.

А если не 123456, то или даты рождения, инициалы, имена детей и т.д. и т.п., что весьма легко выясняется или подбирается по словарю.

Единственным реальным способом как-то сочетать слабый пароль и приемлемый уровень безопасности остается двухфакторная аутентификация. Но тут опять начнутся стоны, что все как-то сложно и заморочено.

OnkelV

Я сегодня буквально за руку вёл хомяка, который забыл пароль.
- зайдите на сайт
- зашёл!
- зайдите в раздел "моя учетная запись"
- зашёл
- наберите адрес мэйла, снизу ссылка "забыл пароль" жмите!
- нажал! И чо?
- чо... Читаем - что написано?
- "на ваш адрес отправлена ссылка для создания нового пароля" и чо?
- идем в почту и тыкаем по ссылке!
- какую почту?
- вашу почту, ваш мэйл, ваш электронный почтовый ящик!
- ааа... Вошел. И чо?
- какие там новые мэйлы? Есть от нашего сайта?
- есть какой-то
- открывайте! Читайте?
- да? Читать?
- там ссылка, тыкайте!
- пишет "введите пароль", вводить?
- да! Вводите и запишите где-то.
.....
 :W
....

А вы тут про безопасность...
Компьютеры крепкие, а софт можно переустановить!

Юсупов Игорь

Quote from: OnkelV on 13 December 2016, 23:59Я сегодня буквально за руку вёл хомяка, который забыл пароль.
Ещё анекдот вспомнился 8 )
Звонок в техподдержку, детский голос (лет 10-12)
- Дяденька, помогите мне ADSL настроить ...
- А взрослых что, дома нет?
- Есть, но они не шарят ...
- Ну ладно, заходи "Пуск-Панель управления"
- Дяденька, мне под фряху ...

А вообще вот для таких "не шарящих" хомяков я и предлагал сделать учётку без требований к паролю и, соответственно, без каких-либо возможностей.
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

Юсупов Игорь

Quote from: Уваров А.С. on 13 December 2016, 18:23Но тут опять начнутся стоны, что все как-то сложно и заморочено.

О, да, это они могут. Не то что пароль, логин свой в домене забыть умудряются. А некоторые и не знают, что он у них есть 8 ) Тупо долбят свой пароль на чужую учётку и жалуются что ничего не работает 8 )
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

Юсупов Игорь

Quote from: OnkelV on 13 December 2016, 23:59- вашу почту, ваш мэйл, ваш электронный почтовый ящик!
- ааа... Вошел. И чо?
- какие там новые мэйлы? Есть от нашего сайта?
- есть какой-то
- открывайте! Читайте?
- да? Читать?
- там ссылка, тыкайте!

Это хорошо, что хомяк в почту с компа вошёл, а не с телефона 8 )
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

OnkelV

Quote from: Юсупов Игорь on 15 December 2016, 08:05что хомяк в почту с компа вошёл

а я им так и говорю: "Вы с компьютера, или с какой-то балалайки в сети?"
Особенно гнусно на сайтах с формулярами себя ведут ОйПады - сами всё неверно заполняют и вводят хомяков в ступор.
Компьютеры крепкие, а софт можно переустановить!

Const

Quote from: OnkelV on 13 December 2016, 23:59Я сегодня буквально за руку вёл хомяка, который забыл пароль.
Есть такое старое, доброе правило "Создай систему, которой и дурак может пользоваться и {только} дурак будет ей пользоваться"
Вы напоминаете бабушек, из жалости подкармливающих голубей или собачек. Чем больше кормите - тем больше голубей и собачек ;)
Имеет смысл, если идиоты - ваша ЦА или значимая её часть. Но тут уж ССЗБ, такой бизнес , при этом вы там на первой линии или передовой фронта

Const

Quote from: Юсупов Игорь on 15 December 2016, 08:03Не то что пароль, логин свой в домене забыть умудряются. А некоторые и не знают, что он у них есть 8 )
в грамотных конторах, где работал, пользователям при трудоустройстве и авторизации выдаётся карточка с реквизитами в 2х экземплярах под подпись.
Утратил и при этом включил тупака на максимум - ССЗБ, изволь получить обратку,
оформить запрос к руководству на восстановление в установленные сроки. Статистически - внутри отдела, на руководителе и замыкается сей круг

Quote from: Юсупов Игорь on 15 December 2016, 08:03Тупо долбят свой пароль на чужую учётку и жалуются что ничего не работает 8 )
в GP есть параметр, определяющий, хранить ли последнюю учётную запись на окне ввода
А так - опять же полезное правило: на упорный брутфорс учётка блокируется, сотрудник пишет объяснительную руководителю или даже в СБ
После пары-тройки раз "Я, Васисусалий Петечкин" "Я, Виолетта Петрова" опять же статистически проблемы негров перестают быть проблемами шерифа
Особенно после выходных, с тяжёлой питницы на воскресенье, с утра понедельника
Но на это нужна воля руководства, притом достаточно железной рукой, когда если VIP персоны есть, то не более 2-3% максимум от персонала
Если ИТ борется за привилегии и бюджеты с отделом менеджеров по клинингу, притом последние лидируют в этом  - то ССЗБ, это такой ИТ

З Ы Я вас понимаю, лет 10 назад сам такой )) Когда было мало различного опыта, верилось во всё лучшее и со всеми искренне хотелось жить дружно
Пока в логах переписки не обнаруживалось, как улыбающиеся при встрече люди кроют отборными словами.
Не считая ножей в спину и воровства, с попытками нагло и цинично использовать в сугубо личных и корыстных интересах

Юсупов Игорь


Quote from: Const on 16 December 2016, 06:48А так - опять же полезное правило: на упорный брутфорс учётка блокируется, сотрудник пишет объяснительную руководителю или даже в СБ

Quote from: Const on 16 December 2016, 06:48в грамотных конторах, где работал, пользователям при трудоустройстве и авторизации выдаётся карточка с реквизитами в 2х экземплярах под подпись.
А теперь попробуйте применить это в средней школе. Или нет, лучше не пробуйте - нервы не выдержат.
Особенность заведения в том, что образовательный процесс прерывать нельзя. Так что за инициативу с объяснительными можно самому попасть на объяснительную. А заводить учётки на каждого сотрудника - CALа не напасёшься ... Добавьте сюда тот факт, что очереди желающих работать в школе не наблюдается - получите общий абзац картины.
З.Ы. Я тоже вас понимаю, лет 10 назад так же считал себя самым умным и правильным. Пока волею судьбы не попал на другую сторону баррикад, где совершенно другие условия.
Современные технологии - это, конечно, хорошо ...
Но использовать то, что есть - тоже своего рода искусство.

Уваров А.С.

Здесь следует остановиться и вспомнить одну простую вещь. В любой фирме IT-подразделение является обслуживающим, т.е. денег фирме оно не приносит, а только затраты. И если данное подразделение начинает "качать права" относительно производящих, т.е. приносящих прибыль, подразделений, то получит "звездюлей" именно IT, хотя формально он может быть и прав.

Для лучшего понимания, проведем простую аналогию: слесарь, вместо того, чтобы быстро починить станок с мелкой неисправностью, вызванной не совсем правильной работой с ним, становится в позу и отказывается это делать до тех пор, пока оператор станка не напишет заявление на имя начальника цеха с указанием своих косяков и просьбой таки дать слесарю указание починить станок. А работа при этом стоит, план не выполняется...

Вопрос: как быстро и в какой форме слесарь получит данное указание?