Ukládání hesel ve webmailu Forpsi

Dne 25.5. jsem nastavoval nějké účty na https://webmail.forpsi.com/ a nevšiml jsem si u políčka pro heslo hlášky "Délka hesla musí být mezi 8 a 16 znaky".
Zkusil jsem zadat vygenerované 20-znakové heslo a divil jsem se, že se nejde přihlásit. Když jsem na hlášku narazil znovu, napadlo mě zkusit prvních 16 znaků z hesla a ono to fungovalo.
To znamená, že s největší pravděpodobností je heslo v databázi uloženo v plain textu, protože hash z prvních 16 znaků by byl jiný, než hash celého hesla.
Jedinou další možností je oříznutí na 16 znaků "v paměti" aplikace, ale to nepokládám za pravděpodobné.

I pokud připustíme nepravděpodobnou možnost, že jsou hesla uložena bezpečně, je to chyba minimálně z hlediska použitelnosti.

Zajímavá mi přijde i hláška "Nové heslo je stejné jako původní" i když z ní nevyplývá, že by nebyla hesla uložena bezpečně.

Další články na podobné téma:

25.8.2014
Forpsi nám opět namíchalo nechutný koktejl zranitelností

11.8.2014
Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

11.7.2013
Forpsi a plaintextová hesla

Cituji: Disclaimer

Článek nenabádá k žádným útokům na společnost, snažím se jen upozornit na problém, který jsem zaznamenal. A protože mě Forpsi ignoruje, doufám, že je tímhle textem postrčím k opravě.

S čímž se ztotožňuji.