Ukládání hesel ve webmailu Forpsi
11. června 2015
Používají firmy stále hesla v plain-textu?
Dne 25.5. jsem nastavoval nějké účty na https://webmail.forpsi.com/ a nevšiml jsem si u políčka pro heslo hlášky "Délka hesla musí být mezi 8 a 16 znaky".
Zkusil jsem zadat vygenerované 20-znakové heslo a divil jsem se, že se nejde přihlásit. Když jsem na hlášku narazil znovu, napadlo mě zkusit prvních 16 znaků z hesla a ono to fungovalo.
To znamená, že s největší pravděpodobností je heslo v databázi uloženo v plain textu, protože hash z prvních 16 znaků by byl jiný, než hash celého hesla.
Jedinou další možností je oříznutí na 16 znaků "v paměti" aplikace, ale to nepokládám za pravděpodobné.
I pokud připustíme nepravděpodobnou možnost, že jsou hesla uložena bezpečně, je to chyba minimálně z hlediska použitelnosti.
Zajímavá mi přijde i hláška "Nové heslo je stejné jako původní" i když z ní nevyplývá, že by nebyla hesla uložena bezpečně.
Další články na podobné téma:
25.8.2014
Forpsi nám opět namíchalo nechutný koktejl zranitelností
11.8.2014
Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.
11.7.2013
Forpsi a plaintextová hesla
Cituji: Disclaimer
Článek nenabádá k žádným útokům na společnost, snažím se jen upozornit na problém, který jsem zaznamenal. A protože mě Forpsi ignoruje, doufám, že je tímhle textem postrčím k opravě.
S čímž se ztotožňuji.