Czy GG przechowuje hasła w postaci jawnej?

19-07-2012, 11:58

To pytanie powróciło do nas po dwóch latach jak bumerang wraz z nowym zgłoszeniem od Czytelnika. Przedstawiamy wyniki naszego śledztwa i wyjaśnienia rzecznika.

Tydzień temu, 12 lipca, do redakcji Dziennika Internautów dotarło zgłoszenie dotyczące nieprawidłowości związanych z odzyskiwaniem hasła do komunikatora GG (dawniej Gadu-Gadu). Czytelnik napisał:

E-mail z odzyskanym hasłem otrzymany przez Czytelnika, zrzut ekranu
fot. - E-mail z odzyskanym hasłem otrzymany przez Czytelnika, zrzut ekranu
Niedawno miałem problem z zalogowaniem się do protokołu Gadu-Gadu. Z uwagi na prawdopodobną zmianę hasła dałem przypomnij hasło. Po pewnym czasie na mojego maila przyszła informacja. Ku mojemu zdziwieniu w mailu było zawarte moje hasło, jakie ustawiałem kilka lat temu. Hasło było zawarte w postaci tekstowej, czyli nie zostało w żaden sposób zakodowane w serwisie Gadu-Gadu. W celu potwierdzenia zmieniłem hasło na nowe i dałem przypomnienie jeszcze raz. 12-znakowe hasło zostało mi wysłane, jakbym sam je wpisywał.

Czytelnicy Dziennika Internautów mogą pamiętać, że zajmowaliśmy się podobną sprawą dwa (!) lata temu (zob. GG: Dodano szyfrowanie, a co z hashowaniem haseł?). Pytani przez nas eksperci ds. bezpieczeństwa - Piotr Konieczny i Michał Piszczek - zgodnie wówczas stwierdzili, że ewentualna kradzież bazy danych zawierającej hasła przechowywane w postaci jawnej może przysporzyć użytkownikom wiele kłopotów.

Czytaj także: Hashowanie haseł użytkowników - czy to konieczne?

Są trzy dowody (nie włączając tego z maila czytelnika) potwierdzające, że hasła do komunikatora są przechowywane w postaci jawnej - odpisał Michał Piszczek na nasze zapytanie sprzed kilku dni. Oto one:

  1. Regulamin świadczenia usług drogą elektroniczną przez GG Network S.A.
    § 2 p. 14 i § 5 p. 5
    mówi, że hasło (nie skrót hasła) jest elementem Profilu użytkownika i jest zapisywane z chwilą zakończenia procedury rejestracji.

  2. Wpis w rejestrze GIODO
    http://egiodo.giodo.gov.pl/form_ver4.dhtml?form_id=1201053
    gdzie w sekcji C.8. jako inne dane osobowe GG NETWORK S.A. wymienia: Hasło do komunikatora Gadu-Gadu (nie skrót hasła).
    Ciekawa jest też sekcja A.3 - wynika z niej, że administrator danych GG NETWORK S.A. powierzył w drodze umowy zawartej na piśmie przetwarzanie danych firmom: ATM S.A., ul. Grochowska 21a, 04-186 Warszawa oraz OVH, 140 Quai du Sartel, 59100 Roubaix, France.

  3. Opis protokołu używanego przez Gadu-Gadu z najnowsze wersji biblioteki libgadu
    Logowanie do usługi przebiega w skrócie tak:
    • Po połączeniu się do serwera Gadu-Gadu otrzymujemy pakiet, który zawiera ziarno (seed) - wartość, którą razem z hasłem przekazuje się do funkcji skrótu.
    • Funkcja skrótu to SHA1 (kiedyś używano słabszej - GG32). Skrót SHA-1 obliczamy z połączenia hasła (bez \0) i binarnej reprezentacji ziarna.
    • Gdy mamy już skrót, możemy odesłać pakiet logowania.
    A zatem podczas samego procesu logowania hasło nie jest wysyłane w postaci jawnej, ale algorytm ujawnia, że na serwerach hasło jest w takiej właśnie formie przechowywane.

Czy GG Network S.A. powinno przechowywać hasła użytkowników w postaci jawnej? Oczywiście, że nie - odpowiada Michał Piszczek. - Temat był już wielokrotnie omawiamy, więc skupię się na drugim aspekcie całej sytuacji - użytkowniku i jego roli. Bezpieczeństwo użytkownika jest w dużej części w jego rękach. Najprostszym zabezpieczeniem jest stosowanie w każdej usłudze innego hasła. Dzięki temu nawet gdy nasze hasła z jednego serwisu wyciekną do sieci, będzie to tylko stary klucz do i tak już rozbitych drzwi, a nie uniwersalny klucz do naszej elektronicznej tożsamości.

Co na to GIODO?

Warto również pamiętać, że każdy administrator danych zobowiązany jest do zapewnienia odpowiedniej ich ochrony, co wynika z rozdziału 5 ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej, m.in. rozporządzenia ministra spraw wewnętrznych i administracji, które dotyczy zabezpieczania danych osobowych przetwarzanych w systemach informatycznych.

Czy ochrona zapewniana przez GG Network S.A. jest odpowiednia? Pytając o to dwa lata temu, nie otrzymaliśmy jednoznacznej odpowiedzi - biuro GIODO poinformowało, że przechowywanie haseł do systemu w postaci jawnej może stanowić lukę w jego bezpieczeństwie, ale biorąc pod uwagę inne mechanizmy bezpieczeństwa, może to nie być istotne. Odpowiedź, którą uzyskaliśmy w tym tygodniu, była o wiele bardziej stanowcza. Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego GIODO, napisała:

(...) sposób odzyskiwania zapomnianego hasła za pomocą poczty elektronicznej na adres podany podczas zakładania konta użytkownika, bez jednoczesnego wymuszenia zmiany tego hasła na inne, nie jest metodą bezpieczną. Przesyłane w ten sposób hasło może zostać przechwycone przez nieuprawnione osoby i może dojść do podszywania się innych osób.

Przechowywanie haseł w bazie danych systemu w postaci jawnej jest niedopuszczalne z punktu widzenia bezpieczeństwa systemu i jego użytkowników, gdyż włamanie się do takiego systemu równoznaczne jest z kradzieżą tożsamości wszystkich zarejestrowanych w danym systemie użytkowników i stworzenie możliwości nadużyć w postaci podszycia się nieuprawnionych osób pod uprawnionych użytkowników.

Jednocześnie należy mieć na uwadze, że przesłanie - do użytkowników - za pomocą poczty elektronicznej starego hasła w postaci jawnej nie oznacza równocześnie, że w systemie nie zastosowano szyfrowania haseł. Niezależnie bowiem od opisanej w pytaniu metody kodowania haseł przy użyciu funkcji MD5, SHA-1 czy SHA-2 możliwe jest stosowanie innych autorskich metod szyfrowania, którymi w pełni zarządza administrator systemu, w tym również takich, które umożliwiają odszyfrowanie zapisanego w postaci zaszyfrowanej w bazie danych hasła i przesłanie go użytkownikowi w postaci jawnej.

GG: Hasła przechowujemy w bezpieczny, szyfrowany sposób

Sonda
Komunikator, z którego korzystasz, to...?
  • Skype
  • GG
  • Google Talk
  • Facebook Messenger
  • Inny (podaj nazwę w komentarzach)
  • Nie korzystam z komunikatora.
wyniki  komentarze

Artykuł byłby niepełny, gdybyśmy nie przedstawili stanowiska strony najbardziej zainteresowanej, czyli GG Network S.A., producenta komunikatora GG. Jej rzecznik Jarosław Rybus podziękował za sygnał i w nadesłanym wczoraj wieczorem e-mailu wyjaśnił: W trosce o bezpieczeństwo wprowadziliśmy nową formułę przypominania hasła i nie jest ono już wysyłane w otwartej postaci e-mailem do użytkownika. Nową bezpieczną zasadę udostępniliśmy w nowej platformie komunikacyjnej od GG - http://beta.gg.pl/info/

W starym centrum logowania, dostępnym poprzez WWW, z którego skorzystał Czytelnik - jak napisał przedstawiciel GG - mogły pojawić się jeszcze pozostałości poprzedniej formuły. Otrzymaliśmy zapewnienie, że również tam w najbliższych dniach zostaną wprowadzone niezbędne zmiany, tak aby hasło nie było przesyłane w postaci jawnej. Na koniec Jarosław Rybus zapewnił: hasła są u nas przechowywane w bezpieczny, szyfrowany sposób.

Wnioski możecie wyciągnąć sobie sami, zachęcamy do przedyskutowania ich w komentarzach.

Czytaj także: GG: Dodano szyfrowanie, a co z hashowaniem haseł?


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
Komentarze
comments powered by Disqus
To warto przeczytać










  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.